Khái quát về công cụ Bettercap
Kết chương
Chương 1 ở trên đã giới thiệu một cách sơ lược một cách tổng quan về công cụ Bettercap và lịch sử hình thành và phát triển của chúng Bettercap là công cụ tuyệt vời cho các chuyên gia bảo mật và các nhà phát triển Qua đó sẽ giảm thiểu được các nguy cơ bị tấn công
Hướng dẫn cài đặt và sử dụng Bettercap
Hướng dẫn cài đặt phần mềm Bettercap trong Kali Linux
Bettercap là một dự án mã nguồn mở, do vậy ta có thể tìm thấy mã nguồn trên github và dễ dàng tải và sử dụng:
Link: https://github.com/bettercap/bettercap
Hình 2.1: Trang github tải công cụ Bettercap
Trong kho lưu trữ Kali Linux, Bettercap hiện có nhưng phiên bản 1.6.2 đã lỗi thời Để kiểm tra phiên bản Bettercap mới nhất có sẵn để cài đặt từ kho lưu trữ chính thức, bạn hãy chạy lệnh sau:
Và ta thấy phiên bản có sẵn để cài đặt từ Kali
Hiện tại, Bettercap đang ở phiên bản 2.29, và để cài đặt phiên bản này, bạn có thể sử dụng lệnh phù hợp Tuy nhiên, phiên bản mới nhất của Bettercap là 2.32, được phát hành vào ngày 21 tháng trước.
8 năm 2021 Nếu ta muốn tải phiên bản mới nhất từ Bettercap, ta phải xóa các phiên bản Bettercap cũ hơn nếu nó đã được cài đặt trước đó
Khắc phục cho một số thư viện đã được sử dụng ta dùng lệnh:
Và giờ đây, ta có thể tải xuống tệp lưu trữ với tệp nhị phân của phiên bản Bettercap mới nhất:
Cuối cùng ta có thể giải nén, rồi kiểm tra phiên bản
Như vậy là ta có thể cài đặt thành công công cụ Bettercap trên Kali linux để sử dụng một cách thuận tiện và dễ dàng.
Hướng dẫn cách sử dụng công cụ Bettercap trong Kali Linux
2.2.1 Những đặc điểm chính của công cụ Bettercap trong Kali Linux
Bettercap không chỉ là công cụ tấn công mạng, mà còn mang lại nhiều lợi ích đáng kể cho người dùng Nó giúp bảo vệ mạng và phát hiện các lỗ hổng, từ đó nâng cao khả năng an ninh cho hệ thống của bạn.
- Các RE luôn sử dụng Bettercap như là công cụ phổ biến cho các chương trình dịch ngược cũng như sửa đổi các giao thức mạng đóng
- Các nhà nghiên cứu bảo mật di động/ IoT đang khai thác các khả năng tốt hơn để kiểm tra tính bảo mật của các hệ thống di động
Càng về những phiên bản sau, Bettercap ngày càng trở nên hoàn thiện, mạnh mẽ hơn với những đặc điểm:
- WiFi mạng quét, tấn công deauthentication, WPA / WPA2…
- Thiết bị Bluetooth Low Energy quét, liệt kê đặc điểm, đọc và ghi
- Quét các thiết bị không dây 2.4Ghz và các cuộc tấn công MouseJacking với tính năng chèn khung HID không dây (với hỗ trợ DuckyScript)
- Mạng IP thụ động và hoạt động lưu trữ các máy thăm dò và kiểm tra lại
- ARP, DNS và DHCPv6 giả mạo để tấn công MITM trên các mạng dựa trên IP
- Các proxy ở cấp độ gói, cấp độ TCP và cấp độ ứng dụng HTTP / HTTPS hoàn toàn có thể tập lệnh với các plugin javascript dễ triển khai
Phần mềm này nổi bật với tốc độ quét cổng nhanh chóng, đồng thời là một công cụ giám sát mạng mạnh mẽ, giúp thu thập thông tin xác thực và đánh dấu các giao thức mạng hiệu quả.
2.2.2 Cách sử dụng công cụ Bettercap trong Kali Linux
Hiện nay, công cụ Bettercap đã mở rộng tính năng vượt ra ngoài các cuộc tấn công MITM truyền thống, nhờ vào việc sử dụng caplet và script Công cụ này cho phép thực hiện nhiều loại tấn công lừa đảo và tấn công dựa trên thao tác dữ liệu, bắt đầu từ các cuộc tấn công MITM.
Ta sẽ xem một số tính năng của Bettercap trong Kali Linux
13 Hình 2.2: Các option trong Bettercap
Hình 2.3: Các option trong Bettercap
Ta có thể thấy rõ thấy các tính năng của công cụ Bettercap:
- -autostart : Danh sách modul được phân tách bằng dấu phẩy để tự động bắt đầu
- -caplet: Đọc lệnh từ tệp này và thực hiện chúng trong phiên tương tác
- -caplets-path: Chỉ định một đường dẫn cơ sở thay thế cho caplet
- cpu-profile: Viết tệp hồ sơ cpu
- -debug: In thông báo gỡ lỗi
- Env-file: Tải các biến môi trường từ tệp này nếu được tìm thấy, được đặt thành trống để vô hiệu hóa tính duy trì của môi trường
- -eval: Chạy một hoặc nhiều câu lệnh cách nhau bởi dấu chấm phẩy, được sử dụng để thiết lập các biến thông qua dòng lệnh
Sử dụng địa chỉ IP được cung cấp thay vì cổng mặc định Nếu địa chỉ IP không được chỉ định hoặc không hợp lệ, cổng mặc định sẽ tự động được sử dụng.
- -iface:Giao diện mạng để liên kết, nếu trống, giao diện mặc định sẽ được tự động được chọn
- -mem-profile: Ghi hồ sơ bộ nhớ vào tệp…
Bettercap không ngừng cải thiện với nhiều tính năng mới, giúp người dùng khai thác hiệu quả hơn Dưới đây là một số cách sử dụng ứng dụng của công cụ Bettercap.
- Để hiện thị danh sách các máy chủ được phát hiện trọng mạng cục bộ, ta có thể nhập lệnh:
Hình 2.4: Giám sát mạng LAN trong Bettercap
Hình 2 hiển thị danh sách các máy chủ được phát hiện trên mạng cục bộ, bao gồm eth0 và gateway Phương pháp này là giám sát thụ động, dựa trên việc tra cứu máy chủ thông qua bộ nhớ cache ARP.
Modul net.probe liên tục quét các máy chủ bằng cách gửi gói UDP giả đến tất cả các địa chỉ IP khả thi trong mạng con.
Và chúng ta sẽ xem xét các máy chủ được phát hiện
Bettercap cung cấp thông tin mạng LAN, cho phép các nhà phân tích mạng nhận diện rằng máy tính có mã hóa tốt hơn thường gửi các gói tin hàng loạt Phương pháp này đang trở nên phổ biến trong việc phân tích và bảo mật mạng.
Với Bettercap, người dùng có khả năng theo dõi liên tục tình trạng mạng và nhận dữ liệu trên màn hình theo thời gian thực.
Khi sử dụng lệnh net.probe on, hệ thống sẽ tiến hành tìm kiếm hoạt động cho các máy chủ Kết hợp với lệnh "ticker on", quá trình này sẽ thực hiện định kỳ một tập hợp lệnh nhất định mà không cần chỉ định cụ thể Các lệnh này sẽ được thực hiện mặc định, ví dụ như lệnh
“Net.show” cho phép các máy chủ được tìm kiếm liên tục trong nền, đồng thời hiển thị thông tin thực tế trên màn hình theo thời gian thực.
Chế độ tương tác và không tương tác trong công cụ Bettercap
- Ở Bettercap sẽ có các tùy chọn –eval và –caplet.Caplet
- Nếu việc chạy tương tác Bettercap mỗi lần là bất tiện, ta có thể sử dụng tùy chọn –eval, sau đó chỉ định các lệnh được thực thi
Với lệnh –eval này, ta có thể gộp 2 lệnh “net.probe on” và “ticker on” trong cùng một lệnh khởi chạy
Trong bản tóm tắt phiên tương tác, người dùng có thể thực hiện các lệnh hệ thống, chẳng hạn như kiểm tra khả năng kết nối với mạng Internet.
Cùng một lệnh(tập hợp các lệnh) có thể thực hiện trực tiếp trong phiên tương tác, bằng cách đặt dấu chấm than trước tập hợp lệnh:
Và bây giờ, ta sẽ thêm giám sát kết nối với Internet vào giám sát mạng cục bộ, ta sẽ lần lượt thực hiện bằng cách:
Tiếp theo đó ta sẽ đặt giá trị của biến ticker.commands:
Và nếu muốn, ta có thể tăng khoảng thời gian lên 3 giây( mặc định là 1 giây):
Cuối cùng ta hoàn tất quy trình bằng cách thực hiện lệnh:
Và ta sẽ thấy được kết quả của thực thi, địa chỉ kết nối đã được thông báo là
“There is an Internet connection”
Hình 2.5: Hiển thị trạng thái kết nối
Sử dụng lệnh –eval, người dùng có thể kết hợp tất cả các lệnh để kiểm tra kết nối Internet chỉ với một câu lệnh duy nhất, và kết quả thu được sẽ tương tự như khi thực hiện từng lệnh riêng lẻ.
- Bên cạnh tùy chọn –eval, ta cũng sẽ có một tùy chọn khác là –caplet, cũng sẽ cho phép ta chạy chương trình với các lệnh được chỉ định
Để sử dụng lệnh –eval cho lệnh –caplet, trước tiên chúng ta cần tạo một tệp văn bản có tên netmon.cap, và bạn có thể chọn bất kỳ tên nào mà bạn thích.
Và sau đó ta sẽ dán các lệnh mà mình đã nhập trong phiên tương tác, ta sẽ nhận được tệp netmon.cap với những thông tin:
Hình 2.6: Cách gộp các dòng lệnh với caplet
Bây giờ ta sẽ chạy bettercap với tùy chọn –caplet, sau đó ta sẽ chỉ định đường dẫn đến tệp bằng caplet
Sử dụng tham số –eval, chúng ta sẽ nhận được thông tin tương tự như kết quả hiển thị trong hình 3, cho thấy tình trạng kết nối đến địa chỉ internet.
Giám sát mạng Wifi bằng cách sử dụng Bettercap
- Đây là một tính năng mới tốt hơn Nhân tiện, hỗ trợ Bluetooth Low Energy đã được thêm vào.
Kết chương
Trong chương 2, tôi đã giới thiệu về công cụ Bettercap, bao gồm các tính năng, cách thức hoạt động và hướng dẫn cài đặt trên Kali Linux, giúp người đọc có cái nhìn tổng quan về công cụ này Tiếp theo, trong chương 3, tôi sẽ tiến hành thực nghiệm tấn công sử dụng Bettercap.
Bettercap trên KaliLinux Qua đó sẽ đưa ra nhận xét vể ưu điểm, nhược điểm của công cụ này
Thử nghiệm công cụ Bettercap
Lab sử dụng công cụ Bettercap để chặn bắt gói tin
Đầu tiên, ta sẽ bật trình giả mạo địa chỉ protocol (ARP) bằng lệnh “arp.spoof on”
Hình 3.1: Bật trình giả mạo địa chỉ protocol
Sau đó ta sẽ bật trình thám thính (nghe lén) bằng lệnh “net.sniff on”
Hình 3.2: Bật trình thám thính
Sau đó ta sẽ sử dụng một máy Win7 trên VMWare để đăng nhập để xem Bettercap chặn bắt gói tin như nào
Ta thấy địa chỉ IP của máy Win7
Hình 3.3: Địa chỉ IP của máy Win7
Ta đăng nhập trên một trang web kiểm tra lỗi chặn bắt trên Win7 với username là
Hình 3.4: Thông tin đăng nhập của trang web
Lúc này ta có thể thấy là việc chặn bắt thông tin đã có được kết quả, ta đã lấy được thông tin và password tài khoản của mình
Hình 3.5: Kết quả thu được khi tấn công ARP
Lab sử dụng công cụ Bettercap và Sslstrip đổi HTTPS sang HTTP
Trong bài lab 1, chúng ta nhận thấy rằng việc chặn bắt username và password trở nên khả thi do trang web sử dụng giao thức http không an toàn Tuy nhiên, hầu hết các trang web hiện nay đều chuyển sang sử dụng https Để thực hiện bài lab này, tôi sẽ sử dụng công cụ Bettercap để chuyển đổi từ https sang http Bước đầu tiên là khám phá máy chủ mạng bằng lệnh “net.recon on”.
Hình 3.6: Khám phá máy chủ mạng
Sau đó ta sẽ enable sslstrip bằng lệnh “set https.proxy.sslstrip true”
Tiếp sau đó ta sẽ enable internal ARP spoofing bằng lệnh “set arp.spoof.internal true”
Hình 3.8: enable internal ARP spoofing
Ta có thông tin địa chỉ IP máy nạn nhân:
Hình 3.9: Địa chỉ IP máy Win7
Ta sẽ targets vào địa chỉ IP máy nạn nhân bằng lệnh “ set arp.spoof.targets 192.168.5.131”
Hình 3.10: Target vào địa chỉ IP
Sau đó ta dùng lệnh “ set net.sniff.verbose false”
Hình 3.11 Cài đặt chế độ sniff
Cuối cùng ta sẽ dùng các lệnh để bật trình chặn bắt và nghe lén:
When visiting websites such as https://fshare.vn or https://demo.mentn-online.com/user/login.html, it is evident that they are accessed in an unsecured manner.
27 Hình 3.12 Trang web sau khi bị chặn bắt
Hình 3.13 Trang web sau khi bị chặn bắt
Khi trang web chuyển sang chế độ không bảo mật HTTP, chúng ta có thể áp dụng phương pháp tương tự như trong bài lab 1 để đạt được kết quả mong muốn.
Ưu điểm của công cụ Bettercap
- Công cụ tấn công và khai thác MITM, Wifi rất mạnh
- Có giao diện GUI nên rất dễ nhìn
- Hỗ trợ rất nhiều chức năng hơn một số công cụ cùng loại
- Được viết bằng ngôn ngữ Go khiến hiệu suất tăng lên một cách đáng kể
Nhược điểm của công cụ Bettercap
- Các phiên bản liên tục được cập nhật một cách nhanh chóng nên khá khó cho mọi người theo dõi
So sánh công cụ Bettercap với các công cụ khác
3.5.1 Công cụ Bettercap với Ettercap
- Ettercap là một bộ công cụ toàn diện dành cho những kẻ tấn công trung gian
Ettercap là một công cụ mạnh mẽ với khả năng dò tìm các kết nối trực tiếp và lọc nội dung nhanh chóng Nó hỗ trợ cả phân tích chủ động và thụ động cho nhiều giao thức khác nhau, đồng thời cung cấp nhiều tính năng hữu ích để phân tích mạng và máy chủ lưu trữ.
Ettercap là công cụ bảo mật mạng mã nguồn mở và miễn phí, hỗ trợ kiểm tra thâm nhập và phân tích giao thức mạng Ra mắt vào ngày 14 tháng 3 năm 2015, Ettercap được viết bằng ngôn ngữ C Tuy nhiên, công cụ này không đủ hiện đại để tương thích với các giao thức mới và gặp phải vấn đề về độ ổn định cũng như khả năng mở rộng Để khắc phục những nhược điểm này, Bettercap đã được phát triển như một giải pháp thay thế hiệu quả hơn.
Bettercap là một khung công tác mở rộng và di động, được phát triển bằng ngôn ngữ Go, với mục tiêu thay thế các công cụ kiểm tra thâm nhập và tấn công, cung cấp giải pháp tất cả trong một Ngoài ra, Bettercap còn hướng tới việc tích hợp nhiều giao thức khác nhau như WiFi và Bluetooth Low Energy.
Energy, thiết bị HID và mạng Ethernet.
Kết chương
Chương 3 đã trình bày chi tiết về quá trình cài đặt môi trường và thử nghiệm tấn công bằng công cụ Bettercap Từ đó rút ra được ưu điểm và nhược điểm của công cụ so với các công cụ khác cùng loại
