EtterCap是一个基于ARP地址欺骗方式的网络嗅探工具,主要适用于交换局域网络。借助于EtterCap嗅探软件,渗透测试人员可以检测网络内明文数据通讯的安全性,及时采取措施,避免敏感的用户名/密码等数据以明文的方式进行传输。ettercap几乎是每个渗透测试人员必备的工具之一。(本文已Kali Linux为例)




使用ettercap执行渗透测试_嗅探






工具/原料





  • 安装好ettercap的Kali Linux虚拟机


方法/步骤







  1. 确认已安装ettercap,输入:ettercap -v ,若显示版本信息,则说明已安装。



    使用ettercap执行渗透测试_linux_02


  2. 打开图像化界面,输入:ettercap -G 。


  3. 使用ettercap执行渗透测试_渗透测试_03




  4. 选择嗅探模式:Unified sniffing,设置好要嗅探的网卡(一般都是eth0),点击确定,开始嗅探。



    使用ettercap执行渗透测试_嗅探_04

    使用ettercap执行渗透测试_渗透测试_05

    使用ettercap执行渗透测试_渗透测试_06




  5. 列出局域网内的所有存活主机,依次点击Hosts---Hosts list。此处列出了我家局域网内的所有存活主机(不包括虚拟机本身),包括:路由器、Windows宿主机、一台笔记本和一部手机。



    使用ettercap执行渗透测试_渗透测试_07

    使用ettercap执行渗透测试_嗅探_08




  6. 开启中间人监听模式,将要监听的两端分别添加到Target1、Target2,然后依次点击mitm --- arp posoning ,勾选sniff remote connections(嗅探并保持原连接状态)。



    使用ettercap执行渗透测试_渗透测试_09

    使用ettercap执行渗透测试_渗透测试_10

    使用ettercap执行渗透测试_linux_11


  7. 查看被监听主机之间的所有连接信息,依次点击View---Connections。


  8. 使用ettercap执行渗透测试_嗅探_12

    使用ettercap执行渗透测试_linux_13




  9. 利用ettercap+driftnet截获目标主机的图片数据流。打开一个终端,输入:ettercap -i eth0 -Tq -M arp:remote //192.168.0.102// //192.168.0.1//,开启中间人监听;再打开一个终端,输入:driftnet -i eth0 ,显示截获的图片。



    使用ettercap执行渗透测试_linux_14

    使用ettercap执行渗透测试_linux_15

    使用ettercap执行渗透测试_渗透测试_16