Pour passer d'un clavier QWERTY à un clavier AZERTY lors de l'ouverture d'une sesson Windows, suiverzles instructions suivantes :
1 - Allez dans la base de registre (effectuer une sauvergarde de la base avant toutte manipulation) puis allez dans HKEY_USERS\.DEFAULT\Keyboard Layout\Preload
Une attaque de type ARP Poisoning consiste à bombarder un routeur de requête ARP en lui faisant croire que l'on est quelqu'un d'autre. Au bout d'un moment, cela va provoquer la mise à jour du cache ARP et on sera alors placé en "Man in the middle". Tout le trafic entre la machine cible et le routeur passera alors par vous et on aura ainsi la possibilité de capturer l'ensemble des informations qui transitent.
Des outils comme tcpdump permettent, certes, de faire de la capture réseau, mais entre votre hôte et une machine cible. Lorsque l'on veut capturer du trafic entre deux hôtes distants, il devient tout de suite plus simple d'utiliser ettercap qui est spécialisé dans ce genre de domaine.
Pour installer ettercap et wireshark sur une distribution à base de Debian, lancez la commande suivante en root :
apt-get install ettercap wireshark
Voici un exemple d'utilisation d'ettercap pour faire du ARP Poisoning (mettre sudo devant pour ubuntu) :
ettercap -T -q -M arp:remote /192.168.1.101/ /192.168.1.1/ -w result
Note : pour arrêter proprement l'attaque, il faut appuyer sur la touche q.
Le fichier de sortie result sera au format pcap (packet capture). Vous pouvez l'ouvrir avec un logiciel comme Wireshark par la suite pour analyser chaque requête faite à travers le réseau.
Voici quelques exemples de filtres à utiliser pour isoler des données sensibles :
Si l'on souhaite également faire du ARP Poisoning sur des connexions SSL (ex: https) avec ettercap, il faudra au préalable décommenter les deux lignes iptables dans le fichier /etc/etter.conf :
# if you use iptables:
redir_command_on = iptables -t nat ...
redir_command_off = iptables -t nat ...
Lorsque l'utilisateur visitera un site en https, ettercap lui présentera un faux certificats SSL. Si ce dernier l'accepte sans prendre garde, l'ensemble du traffic chiffré sera alors capturé.
Voici un exemple de capture lors d'une connexion à un site en https :
HTTP : 88.191.250.104:443 -> USER: plop PASS: plop INFO: https://linuxfr.org/
L'astuce du jour consiste à utiliser la commande nmap pour scanner un réseau et afficher ensuite le nombre de machines sous Linux, Windows ou Mac. Le but sera de se faire une idée des systèmes d'exploitation qui sont utilisés autour de vous.
Voici la commande qui permet de lancer cette analyse. Il faudra bien entendu adapter la plage d'adresses IP à scanner en fonction de celle de votre réseau local :
nmap -O 192.168.1.1-255 | grep "Running: " | sort | uniq -c
Ici, on utilise nmap avec l'option -O qui permet de détecter le système. Ce dernier va alors envoyer des paquets TCP avec des ensembles anormaux d'options IP. Et en examinant les réponses reçues, il sera capable de connaître l'OS utilisé.
Voici un exemple de résultat :
3 Linux
1 Window
1 Apple
La commande :
netstat -pan | grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Exemple de résultats :
1 192.168.0.12
4 192.168.0.14
8 192.168.0.6
2 192.168.0.67
