5/9/2014 Facebook  –  ARP  Poisoning  usando  SET  e  ettercap  |

http://www.100security.com.br/facebook-­arp-­poisoning-­usando-­set-­e-­ettercap/ 1/19

Browse: Home / Facebook – ARP Poisoning usando SET e ettercap

Tweetar 1 3

Facebook – ARP Poisoning usando SET e ettercapPor: Marcos Henrique | 2784 Views | 18 Respostas

O ataque do tipo ARP-Poisoning (ou ARP-Spoofing) é o meio mais eficiente de executar o ataque conhecido por Man-In-The-Middle, que permite que o atacante intercepte informações confidenciais posicionando-se no meio de uma conexão entreduas ou mais máquinas.

A técnica de ARP-Poisoning é aplicada apenas em redes Ethernet. Basicamente, um sistema conectado a um IP ou LANEthernet tem dois endereços. O primeiro endereço é o MAC, que é atribuído à placa de rede (NIC1) possuída pelo usuário. Osendereços MAC são (ou supõe-se ser) únicos e utilizando esse endereço o protocolo Ethernet envia os dados. O protocoloEthernet constrói frames de dados que consistem de blocos de 1500 bytes. Um frame Ethernet consiste do cabeçalhoEthernet, contendo o endereço MAC do computador origem e do computador destino.

*Atenção! Roubo de Informações é CRIME!, leia o artigo sobre a LEI Nº 12.737

Laboratório:

Passo 01

Abra o aplicativo SET através do menu: Applications > Kali Linux > Exploitation Tools > Social Engineering Toolkit > se-toolkit

Digite o número 1 Social-Engineering Attacks ( Ataque de Engenharia Social )

Home Artigos � Pentest Wargame Cursos Publicações Fotos Envie um Artigo

Contato Sobre

25Curtir

¬ Š «

5/9/2014 Facebook  –  ARP  Poisoning  usando  SET  e  ettercap  |

http://www.100security.com.br/facebook-­arp-­poisoning-­usando-­set-­e-­ettercap/ 2/19

Passo 02

Digite o número 2 Website Attack Vectors

Passo 03

Digite o número 3 Credential Harvester Attack Method

5/9/2014 Facebook  –  ARP  Poisoning  usando  SET  e  ettercap  |

http://www.100security.com.br/facebook-­arp-­poisoning-­usando-­set-­e-­ettercap/ 3/19

Passo 04

Digite o número 2 Site Cloner

Passo 05

Digite o IP do atacante host KALI 10.10.10.130

5/9/2014 Facebook  –  ARP  Poisoning  usando  SET  e  ettercap  |

http://www.100security.com.br/facebook-­arp-­poisoning-­usando-­set-­e-­ettercap/ 4/19

Passo 06

Digite o endereço do site que deseja clonar no exemplo: www,facebook.com

Passo 07

Toda estrutura esta pronta para visualizar as informações, este terminal deve ficar aberto.

5/9/2014 Facebook  –  ARP  Poisoning  usando  SET  e  ettercap  |

http://www.100security.com.br/facebook-­arp-­poisoning-­usando-­set-­e-­ettercap/ 5/19

Passo 08

Edite o arquivo etter.dns para adicionar o novo destino da url www.facebook.com

Passo 09

Insira as linhas e salve o arquivo

# FACEBOOK

facebook.com A 10.10.10.130

*.facebook.com A 10.10.10.130

www.facebook.com PTR 10.10.10.130

5/9/2014 Facebook  –  ARP  Poisoning  usando  SET  e  ettercap  |

http://www.100security.com.br/facebook-­arp-­poisoning-­usando-­set-­e-­ettercap/ 6/19

Passo 10

Certifique-se qual é o Gateway da rede usando o comando route

Passo 11

Abra o aplicativo ettercap através do menu: Applications > Kali Linux > Sniffing/Spoofing > Network Sniffers > ettercap-graphical

Clique em Sniff > Unified sniffing…

5/9/2014 Facebook  –  ARP  Poisoning  usando  SET  e  ettercap  |

http://www.100security.com.br/facebook-­arp-­poisoning-­usando-­set-­e-­ettercap/ 7/19

Passo 12

Selecione a Interface de Rede> eth0

Passo 13

Clique em Hosts > Scan for hosts

5/9/2014 Facebook  –  ARP  Poisoning  usando  SET  e  ettercap  |

http://www.100security.com.br/facebook-­arp-­poisoning-­usando-­set-­e-­ettercap/ 8/19

Passo 14

4 Hosts foram encontrados, Clique em Hosts > Hosts list para visualizá-los

Passo 15

Selecione os hosts Gateway ( 10.10.10.2 ) e WIN-7 ( 10.10.10.134 ) e clique em Add to Target 2

5/9/2014 Facebook  –  ARP  Poisoning  usando  SET  e  ettercap  |

http://www.100security.com.br/facebook-­arp-­poisoning-­usando-­set-­e-­ettercap/ 9/19

Passo 16

Clique em Plugins > Manage the plugins

Passo 17

De um duplo-clique em dns_spoof para ativar o plugin

5/9/2014 Facebook  –  ARP  Poisoning  usando  SET  e  ettercap  |

http://www.100security.com.br/facebook-­arp-­poisoning-­usando-­set-­e-­ettercap/ 10/19

Passo 18

Clique em Mitm > Arp poisoning…

Passo 19

Selecione a opção Sniff remote conections

5/9/2014 Facebook  –  ARP  Poisoning  usando  SET  e  ettercap  |

http://www.100security.com.br/facebook-­arp-­poisoning-­usando-­set-­e-­ettercap/ 11/19

Passo 20

O grupo com os hosts é criado

Passo 21

Clique em Start > Start sniffing

5/9/2014 Facebook  –  ARP  Poisoning  usando  SET  e  ettercap  |

http://www.100security.com.br/facebook-­arp-­poisoning-­usando-­set-­e-­ettercap/ 12/19

Passo 22

O sniffing é iniciado

Passo 23

No host WIN-7 ( 10.10.10.134 ) acesse o site www.facebook.com e informe o e-mail e senha de acesso

5/9/2014 Facebook  –  ARP  Poisoning  usando  SET  e  ettercap  |

http://www.100security.com.br/facebook-­arp-­poisoning-­usando-­set-­e-­ettercap/ 13/19

Passo 24

Volte a tela do passo 07 e visualize que o usuário e senha são explicitamente exibidos

Passo 25

Ao pressionar as teclas CTRL + C um relatório é gerado no caminho: /root/.set/reports

5/9/2014 Facebook  –  ARP  Poisoning  usando  SET  e  ettercap  |

http://www.100security.com.br/facebook-­arp-­poisoning-­usando-­set-­e-­ettercap/ 14/19

Passo 26

Para visualizar estes arquivos ative o modo de exibição de arquivos ocultos View > Show Hidden Files

Passo 27

Relatório contendo usuário e senha do site www.facebook.com

5/9/2014 Facebook  –  ARP  Poisoning  usando  SET  e  ettercap  |

http://www.100security.com.br/facebook-­arp-­poisoning-­usando-­set-­e-­ettercap/ 15/19

Tweetar 1 3

Capturando Senhas comSSLSTRIP e Bloquear o ataquecom ArpON→

Give Me Too – Sni er deRede→

Acesse o Linux peloNavegador→

Falha como Serviço: Integrarsem segurança é oferecer achave do cofre→

MENSAGEM

Tome muito cuidado na hora de realizar o acesso aos seus E-mails, Bancos, Facebook, Twitter, Google+, Instagram pois seusdados podem estar sendo capturados por um criminoso.

Categorias: Ataques em Senhas, Coleta de Informações, Ferramentas de Exploração, Sniffing e Spoofing, Todos os Artigos | Palavras-chave: ARP Poisoning,Engenharia Social, ettercap, SET, Sniffer

Autor

Marcos HenriqueMarcos Henrique é Pós-Graduado em Segurança da Informação com vasta experiência, é o desenvolvedor do siteMarcosHenrique.com, Aulasdeti.com.br, ClicandoFacil.com.br e 100security.com.br.

Artigos relacionados

18 Comentários

Eder 27 de setembro de 2013 at 16:18 | Comentário

Ótima apresentação Marcos Henrique..

Mas me diga um coisa..Essa técnica é valida somente se o atacante estiver na mesma rede?

25Curtir

¬ â «

5/9/2014 Facebook  –  ARP  Poisoning  usando  SET  e  ettercap  |

http://www.100security.com.br/facebook-­arp-­poisoning-­usando-­set-­e-­ettercap/ 16/19

Resposta

Marcos Henrique 12 de novembro de 2013 at 18:53 | Comentário

Eder, este ataque pode também ser realizado em redes distintas.

Resposta

Kevin Mitnick 12 de novembro de 2013 at 7:35 | Comentário

Ótimo artigo, muito bem ilustrado, explicado e organizado. Parabéns! Porém, tenho uma dúvida, é possivel utilizar o SocialEngineering Toolkit para ataques externos. Já tentei fazer isso de diversos modos, mas não consegui. Por exemplo, usando umservidor apache, ou liberando e direcionando a porta 8080 para nossa maquina. Ou seja, passamos o ip da nossa page fake parauma pessoa externa a nossa rede, e conseguimos capturar as credenciais dela. Isso é possivel apenas com esta ferramenta …

Resposta

Marcos Henrique 12 de novembro de 2013 at 18:55 | Comentário

Caro, sinceramente eu não fiz este tipo de teste, mas caso obtenha sucesso compartilhe o resultado com todos.

Resposta

André 13 de novembro de 2013 at 10:09 | Comentário

Olá Marcos, bom dia!!!

Excelente artigo, mas gostaria de tirar uma dúvida com você. No caso eu utilizo o ettercap para capturar os dados de acesso deuma outra forma que da certo também.

Utilizando um browser, mesmo que no dispositivo móvel ele captura. Mas quando tento acessar os dados da APP do facebook nativapara android/iphone eu não consigo.Você sabe se é possível capturar os dados de acesso da aplicação nativa para Android/iPhone ? Você teria algum material a respeitodisso para me passar ?

Obrigado e parabéns pelo artigo

Resposta

Marcos Henrique 13 de novembro de 2013 at 12:58 | Comentário

André, no que diz respeito a tecnologia qualquer coisa é possível porém eu ainda não tive a oportunidade de fazer issoque você esta tentando, assim que possível vou tentar fazer isso e se obter sucesso eu publico um artigo, mas casoconsigo também fique a vontade para publicar seu artigo aqui no site.

Resposta

Kevin Menezes 28 de dezembro de 2013 at 16:47 | Comentário

Marcos Henrique, muito útil mesmo esse artigo. Parabéns! Havia tempos que eu procurava um tutorial como esse, mas semprenão achava com esse método explicativo.

Mas, gostaria de tirar uma dúvida… Após o término do ataque, no caso após cancelar no set, e também fechar o ettercap,precisará colocar as configurações do dns anterior? ou logo após ao termina o ataque, poderão acessar o Facebook normalmente?

Obrigado desde já. Espero que possam me responder com algum e-mail.

Resposta

Marcos Henrique 29 de dezembro de 2013 at 13:49 | Comentário

Obrigado por destacar a qualidade do artigo pois este é meu objetivo de transformar algo bem técnico uma linguagemfácil de entender. Sobre sua pergunta não necessita realizar nenhuma alteração no DNS.

Resposta

Pedro Paulo Silveira 21 de fevereiro de 2014 at 13:34 | Comentário

Grande Marcos, Excelente artigo como sempre!Parabéns!Entre o método do SSLStrip e esse do poisioning com o set/ettercap, qual você prefere? Ou se dá de maneira mais “rápida” efuncional?

Abraços

Resposta

Marcos Henrique 27 de fevereiro de 2014 at 14:09 | Comentário

Pedro, desculpe a demora em responder mas é a correria rsrsReferente a pergunta ambos os métodos são validos para alcançar o objetivo final porém o SSLTrip tem uma ação mais ativana captura dos dados mas de um modo geral o foco na segurança da informação nem sempre é o metodo que vale mas sim

5/9/2014 Facebook  –  ARP  Poisoning  usando  SET  e  ettercap  |

http://www.100security.com.br/facebook-­arp-­poisoning-­usando-­set-­e-­ettercap/ 17/19

alcançar o objetivo final né. Abraços..

Resposta

Vagner de Souza 26 de fevereiro de 2014 at 4:17 | Comentário

Marcos, tudo bem?

Gostaria de saber como seria esse ataque em uma rede remota, eu teria que colocar meu ip externo no Set?

O usuário que vai fornecer os dados deve receber o link do meu IP?Gostaria que você pode explicar mais detalhado esse tipo de ataque?

Aguardo sua ajuda

Obrigado

Resposta

Marcos Henrique 27 de fevereiro de 2014 at 14:14 | Comentário

Vagner, a forma de ataque é a mesma porém vale ressaltar que a realização de um ataque como este sem oconsentimento do destino do ataque pode lhe trazer sérios problemas judiciais, explore este procedimento em umambiente controlado (testes) . Abraços..

Resposta

Carlos 11 de junho de 2014 at 18:45 | Comentário

Marcos, parabéns pelo site, tutoriais muito bons

tenho uma dúvida: segui todas as instrucões e consegui realizar o teste aqui em casa, mas quando atualizei o kali essa semana opasso final do setoolkit nao responde como esperado.

eis a mensagem que eu recebo:[*] Apache is set to ON – everything will be placed in your web root directory of apache.[*] Files will be written out to the root directory of apache.[*] ALL files are within your Apache directory since you specified it to ON.Apache webserver is set to ON. Copying over PHP file to the website.Please note that all output from the harvester will be found under apache_dir/harvester_date.txtFeel free to customize post.php in the /var/www directory[*] All files have been copied to /var/www{Press return to continue}

depois disso, ele volta para o menu inicial

Li a resperto de um erro do apache, adicionei ServerName localhost no apache2.conf, mas nada resolvido. A técnica parou defuncionar?

Obrigado

Resposta

Marcos Henrique 12 de junho de 2014 at 3:00 | Comentário

Carlos, certifique-se que o o serviço do Apache esta parado, e assim você realiza o processo novamente, esta é umamensagem de alerta apenas, você deve conseguir sem dificuldades, qualquer coisa me adiciona no Facebook posso teacompanhar pelo Chat.

Obrigado..

Resposta

Silton 28 de junho de 2014 at 1:07 | Comentário

Olá Marcos, primeiro lhe parabenizar pelo site.

Eu fiz os testes, com sucesso, porém, dúvida no seguinte, para o usuário teste por cache, o navegador direciona o tráfego parahttps://www.domínio….. só que na minha máquina, apenas roda HTTP, ai em alguns pega, e em outros usuários não, devido a

esse redirecionamento, tem como ativar para funcionar direto pelo HTTPS também??

Resposta

Marcos Henrique 29 de junho de 2014 at 19:32 | Comentário

Silton, é possível sim, de uma olhada em outro artigo que publiquei: http://www.100security.com.br/capturando-senhas-com-sslstrip-e-bloquear-o-ataque-com-arpon/ espero ter ajudado!Abraços..

Resposta

5/9/2014 Facebook  –  ARP  Poisoning  usando  SET  e  ettercap  |

http://www.100security.com.br/facebook-­arp-­poisoning-­usando-­set-­e-­ettercap/ 18/19

COMENTÁRIOS

kaue on Recuperararquivos deletadosusando TestDisk

Bom dia Marcos, tinha um…

Enrique on Revelation- Revelar senhas emAsteriscos

Para resgatar senha do meu…

Matheus L3 on Curso -Teste de Invasão emRedes…

Cara, excelente curso, vamos ver…

ARTIGOS RECENTES

Acesse o Linux peloNavegador5 DE SETEMBRO DE 2014 /MARCOS HENRIQUE

Falha como Serviço:Integrar semsegurança é oferecera chave do cofre

1 DE SETEMBRO DE 2014 /MARCOS FLÁVIO

Curso – Teste deInvasão em Redescom Luiz Vieira24 DE AGOSTO DE 2014 /

MAIS ACESSADOS

Revelation – Revelarsenhas em Asteriscos10682 VIEWS / POSTED 18DE AGOSTO DE 2013

Recuperar arquivosdeletados usandoTestDisk9536 VIEWS / POSTED 20 DE

JULHO DE 2013

Equipamentos Espião9364 VIEWS / POSTED 20 DEABRIL DE 2013

Fernando 1 de julho de 2014 at 19:58 | Comentário

Obtive o mesmo problema do Carlos e consultando Fóruns não consegui resolver. Dá um erro quando mando parar o Apachepelo terminal.

waiting apache2: Could not reliably determine the server’s fully qualified domain name, using 127.0.1.1 for ServerName

E logo após volta para o menu inicial. Saberia de algo para me ajudar?

Att

Fernando

Resposta

Guilherme 17 de agosto de 2014 at 21:45 | Comentário

Só uma dica , aqui no meu Kali o arquivo etter.dns se encontra em :

pra quem não encontrou o etter.dnssó fazer assim:

root@kali: locate etter.dnso caminho que aparecer voce da onano caminho_aqui

Resposta

Deixe um comentário

Nome *

E-mail *

Website

CAPTCHA

Code *

Enviar

¬ Š «

5/9/2014 Facebook  –  ARP  Poisoning  usando  SET  e  ettercap  |

http://www.100security.com.br/facebook-­arp-­poisoning-­usando-­set-­e-­ettercap/ 19/19

Fernando on Curso -Teste de Invasão emRedes…

Como gostaria de participar é…

Marcos Henrique onCurso - Teste deInvasão em Redes…

Muito obrigado por acompanhar os…

MARCOS HENRIQUE

iPhone Analyzer19 DE AGOSTO DE 2014 /MARCOS HENRIQUE

Netsparker – WebApplication SecurityScanner19 DE AGOSTO DE 2014 /

MARCOS HENRIQUE

Uso de ProxyAnônimo8500 VIEWS / POSTED 27 DEJULHO DE 2013

Google – Histórico deNavegação4643 VIEWS / POSTED 20 DEABRIL DE 2013

100Security©2013