一、首先安装bettercap
我这里的环境是ubuntu 16.04
1 apt-get install build-essential ruby-dev libpcap-dev git ruby 2 gem install bettercap
二、开始嗅探:
1 bettercap -I wlp9s0b1 -X
然后会自动发现主机:
之后开始嗅探如下图其实是一张照片。
后面还能看到有人在使用微信,不过腾讯对内容做了加密是没有明文内容的。
下面是摘自他人博客的bettercap具体参数教程:
1 -h, --help 使用帮助; 2 -G, --gateway ADDRESS 手动指定网关地址,如果没有指定当前的网关,网关将被自动检索和使用; 3 -I, --interface 指定网络接口名,默认为eth0; 4 -S, --spoofer NAME 指定欺骗模块,此参数默认为ARP,支持ICMP与ARP,可设为None; 5 -T, --target ADDRESS1,ADDRESS2 目标IP地址,如果没有将指定整个子网为目标, 6 --ignore ADDRESS1,ADDRESS2 寻找目标时,忽略指定的地址; 7 -O, --log LOG_FILE 把所有消息记录到一个文件中,如果未指定则只打印到shell, 8 --log-timestamp 启用日志记录每一行的时间戳,默认禁用; 9 -D, --debug 调试功能,会将每一步操作详细记录,便于调试; 10 -L, --local 解析流经本机的所有数据包(此操作会开启嗅探器),默认为关闭; 11 -X, --sniffer 开启嗅探器, 12 --sniffer-source FILE 加载指定的PCAP包文件,而不是使用接口(此操作将开启嗅探器), 13 --sniffer-pcap FILE 将数据包保存为指定的PCAP文件(此操作会开启嗅探器), 14 --sniffer-filter EXPRESSION 配置嗅探器使用BPF过滤器(此操作会开启嗅探器); 15 -P, --parsers PARSERS 解析指定的数据包并用逗号分隔(此操作会开启嗅探器),支持 16 IRC, WHATSAPP, HTTPAUTH, HTTPS, MYSQL, POST, REDIS, DICT, COOKIE, NNTP, 17 MPD, SNMP, PGSQL, RLOGIN, NTLMSS, SNPP, URL, FTP, DHCP, MAIL, CREDITCARD. 18 --custom-parser EXPRESSION 使用正则表达式来捕获和显示嗅探的数据(此操作会开启嗅探器), 19 --silent 如果不是警告或者错误消息,就不显示,默认关闭, 20 --no-discovery 不主动寻找目标主机,只使用当前的ARP缓存,默认关闭, 21 --no-spoofing 禁用欺骗,同--spoofer NONE命令, 22 --no-target-nbns 禁用NBNS主机名, 23 --half-duplex 使用半双工模式,遇到大流量路由器时可以保证其正常工作, 24 --proxy 启用HTTP代理和重定向所有HTTP请求,默认关闭, 25 --proxy-https 启用HTTPS代理和重定向所有HTTPS请求,默认关闭, 26 --proxy-port PORT 设置HTTP代理端口,默认为8080, 27 --http-ports PORT1,PORT2 用逗号分隔需要重定向到代理的HTTP端口,默认为80, 28 --https-ports PORT1,PORT2 用逗号分隔需要重定向到代理的HTTPS端口,默认为443, 29 --proxy-https-port PORT 设置HTTPS代理端口,默认为8083, 30 --proxy-pem FILE 为HTTPS代理使用自定义PEM证书文件,默认文件为 31 /root/.bettercap/bettercap-ca.pem, 32 --proxy-module MODULE 要么加载Ruby代理模块,要么加载injectjs, 33 injectcss,injecthtml之一 34 --custom-proxy ADDRESS 使用一个自定义HTTP上游代理,而不是嵌入式的, 35 --custom-proxy-port PORT 为自定义的HTTP上游代理指定一个端口,默认为8080, 36 --no-sslstrip 禁用SSLStrip, 37 --custom-https-proxy ADDRESS 使用一个自定义HTTPS上游代理,而不是内置的, 38 --custom-https-proxy-port PORT 为自定义的HTTPS端口指定上游代理,默认为8083, 39 --custom-redirection RULE 使用自定义的端口重定向,格式是: 40 PROTOCOL ORIGINAL_PORT NEW_PORT. 例如:TCP 21 2100,重定向所有TCP流量,从端口21定向到端口2100. 41 --httpd 启用HTTP服务器,默认关闭, 42 --httpd-port PORT 设置HTTP服务器端口,默认为8081, 43 --dns FILE 使用DNS服务器文件作为解析表, 44 --dns-port PORT 设置DNS服务器端口,默认为5300, 45 --httpd-path PATH 设置HTTP服务器路径,默认为:./, 46 --kill 杀掉连接目标,不转发, 47 --packet-throttle NUMBER 设置要发送的每个数据包之间延迟的秒数, 48 --check-updates 检查更新.
官方部分实验命令举例:
1 Default sniffer mode, all parsers enabled: 2 sudo bettercap -X 3 Enable sniffer and load only specified parsers: 4 sudo bettercap -X -P “FTP,HTTPAUTH,MAIL,NTLMSS” 5 Enable sniffer and use a custom expression: 6 sudo bettercap -X –custom-parser “password” 7 Enable sniffer + all parsers and parse local traffic as well: 8 sudo bettercap -X -L 9 Enable sniffer + all parsers and also dump everything to a pcap file: 10 sudo bettercap –sniffer –sniffer-pcap=output.pcap 11 What about saving only HTTP traffic to that pcap file? 12 sudo bettercap –sniffer –sniffer-pcap=http.pcap –sniffer-filter “tcp and dst port 80” 13 Default ARP spoofing mode on the whole network without sniffing: 14 sudo bettercap
参考:
http://blog.csdn.net/c465869935/article/details/50900067