Bei einer solchen Auswahl wird der gesamte Netzwerkverkehr

Bei einer solchen Auswahl wird der gesamte Netzwerkverkehr zwischen den PCs und dem
Gateway zunächst auf ihren Rechner umgeleitet und erst dann weitergeleitet.
Abb. 22 ettercap-mitm
Um nun die Attacke zu starten, müssen wir den ARP-Cache der Targets „vergiften“
Abb. 23
Hier – Mitm Arp poisoning anklicken und den oberen Hacken setzten OK
Abb. 24 ettercap
Über – Start Start sniffing den Netzwerksniffer aktivieren
Über – Targets Protocol All OK wählen
Über – Logging Log all packets …. hier /tmp/datei OK
Mit diesen beiden Punkten stellen wir sicher, dass uns auch nichts entgeht.
Wenn der Punkt 3.4.g durchgeführt wurde, dann werden auch schon SSL (HTTPS)
Verbindungen aufgezeichnet. Sollte der Opfer-PC nun eine HTTPS-Seite ansurfen, dann
passiert folgendes:
Opfer fordert Seite an ettercap übernimmt die Forderung ettercap bekommt ein
Zertifikat vom WebServer ettercap hält die Verbindung mit dem WebServer ettercap
stellt eine abgeänderte Kopie des Zertifikates dem Opfer zur Verfügung (Das Opfer bekommt
unter IE7 oder höher eine Warnung s. Abb. 25) ettercap hält die Verbindung mit dem
Opfer ettercap fungiert nun als Proxy und leitet alle Pakete vom Opfer an den WebServer
und umgekehrt So können alle Daten in „Klartext“ gelesen werden.
Abb. 25 ettercap-SSL-Zertifikat
WebBrowser auf der Opfer-Seite erkennen das gefälschte Zertifikat und geben wie hier beim
IE 7 eine Sicherheitswarnung ab. DAUs interessiert es aber selten – was dort steht.
Beim hier gezeigten Beispiel habe ich dann mit einem mir bekannten User/Passwort eine
Anmeldung vollzogen.
In ettercap Mitm Stop mitm at…. und Start Stop sniffing die Attacke beenden.
Nun können wir uns die Logging-Datei in Ruhe anschauen. Wir wechseln ins Verzeichnis
/tmp und benennen die datei.ecp zu datei.htm um. Nun öffnen Abb. 26 ettercap-Auswertung
Hier sieht man sehr viele kryptische Zeichen, die zum Großteil eher uninteressant sind. Wir
scrollen bis zu einer interessanten Stelle und suchen ab da weiter. Wie man hier sieht hat sich
der User am Target1 irgendwo angemeldet. Da uns der Username nur bedingt weiterhilft
suchen wir nun das passende Passwort. Wir durchsuchen die datei.htm nach Wörtern wie
Login, Password, Username usw. und werden dann fündig – wie in diesem Fall findet man die
User/Paswort - Kombination:
-- Login1%24UserName=user&Login1%24Password=password&Login –
Bitte folgendes noch einmal klar machen: In dieser Log-Datei stehen alle Informationen zur
Verfügung die in der „vermeintlich“ sicheren SSL (HTTPS)- Umgebung übertragen wurden.
– IM KLARTEXT.