Hace tiempo publiqué aquí en el blog como llevar a cabo un ataque MitM ( Man in the Middle), Ataque de Hombre en el medio, y en aquel momento hicimos uso de Ettercap, que sigue siendo una buena herramienta, pero si hay algo que tenemos que reconocer es que no puede ser muy efectiva en entornos grandes ademas de que para llevar a cabo ciertos tipos de ataques avanzados tenemos que apoyarnos de otras herramientas. Y precisamente esto fue lo que vino a resolver Bettercap.
Bettercap es un framework completo, modular, portable y fácilmente ampliable, que contiene todas las características que podamos necesitar cuando llevamos a cabo un ataque MitM. Veamos ahora cuando son esas características.
Características
Descubrimiento Dinámico de Host y ARP Spoofing
Podemos atacar todos los equipos en la red o equipos específicos, y si bettercap descubre otro equipo en la red automáticamente le spoofea la table arp.
Sniffer de Credenciales
El Sniffer integrado es capaz de captar de la red las siguientes informaciones.
- URLs visitadas
- Hosts HTTPS Visitados
- POST HTTP
- Autenticación HTTP
- Credenciales FTP
- Credenciales IRC
- Credenciales POP, IMAP y SMTP
- Credenciales NTLMv1/v2 (HTTP, SMB, LDAP, etc)
Proxy Modular Transparente
Un proxy modular transparente puede ser iniciado pasando el argumento –proxy, por defecto no hace nada que solo registrar pedidos HTTP, pero si se especifica el argumento –proxy-module se puede cargar módulos para manipular el tráfico.
Servidor HTTP Integrado
En caso de que deseemos servir archivos javascript en la red, Inyectar scripts customizados o imagenes en una respuesta HTTP, u otra cosa que se nos ocurra, bettercap cuenta con un servidor HTTP Integrado permitiéndonos servir nuestro propio contenido sin la necesidad de usar o instalar un servicio web como Apache, Nginx, etc.
Veamos a Bettercap en Acción.
Antes, para obtener e instalar bettercap debemos seguir estos pasos:
Instalamos algunos prerequisitos.
$ apt-get install ruby-dev libpcap-dev
Clonamos el repo y procedemos con la instalación
$ git clone https://github.com/evilsocket/bettercap
$ cd bettercap
$ gem build bettercap.gemspec
$ gem install betttercap*.gem
Veámoslo hacer su magia.
Opciones.
Si queremos detectar y atacar todos los equipos en la red LAN y sniffear el tráfico solo basta con iniciar bettercap y pasarle la opción -X
$ bettercap -X
Veamos los resultados que podemos visualizar. Si no le damos un archivo de la Salida pasándole la opción -O nos mostrará todo en la terminal.
Aquí iremos viendo toda la información que va captando bettercap, bien podríamos guardarlo en un archivo para un análisis posterior.
Veamos otros ejemplos de uso.
Si queremos filtrar los datos que deseamos obtener.
$ bettercap -X -P “FTP,HTTPAUTH,MAIL,NTLMSS”
Si queremos activar el Sniffer y ademas ver todo el tráfico local
$ bettercap -X -L
Si queremos cargar el proxy con un Módulo
$ bettercap –proxy –proxy-module=example_proxy_module.rb
En conclusión, la herramienta es bastante completa permitiéndonos llevar ataques MitM de manera sencilla y llevar a cabo ataques mas sofisticados desde el mismo framework.
Ya estamos preparando el Cheat Sheet en la terminal para el repo de Security CheatSheet.
Todo lo publicado en mi Blog es estrictamente para fines educativos.
Links de Interés: Repo Bettercap
Fuente: jsitech
