一、首先安装bettercap

我这里的环境是ubuntu 16.04

 apt-get install build-essential ruby-dev libpcap-dev git ruby
gem install bettercap

二、开始嗅探:

 bettercap -I wlp9s0b1 -X

然后会自动发现主机:

Bettercap的安装和使用嗅探WIFI-LMLPHP

之后开始嗅探如下图其实是一张照片。

后面还能看到有人在使用微信,不过腾讯对内容做了加密是没有明文内容的。

Bettercap的安装和使用嗅探WIFI-LMLPHP

下面是摘自他人博客的bettercap具体参数教程:

 -h, --help                          使用帮助;
-G, --gateway ADDRESS 手动指定网关地址,如果没有指定当前的网关,网关将被自动检索和使用;
-I, --interface 指定网络接口名,默认为eth0;
-S, --spoofer NAME 指定欺骗模块,此参数默认为ARP,支持ICMP与ARP,可设为None;
-T, --target ADDRESS1,ADDRESS2 目标IP地址,如果没有将指定整个子网为目标,
--ignore ADDRESS1,ADDRESS2 寻找目标时,忽略指定的地址;
-O, --log LOG_FILE 把所有消息记录到一个文件中,如果未指定则只打印到shell,
--log-timestamp 启用日志记录每一行的时间戳,默认禁用;
-D, --debug 调试功能,会将每一步操作详细记录,便于调试;
-L, --local 解析流经本机的所有数据包(此操作会开启嗅探器),默认为关闭;
-X, --sniffer 开启嗅探器,
--sniffer-source FILE 加载指定的PCAP包文件,而不是使用接口(此操作将开启嗅探器),
--sniffer-pcap FILE 将数据包保存为指定的PCAP文件(此操作会开启嗅探器),
--sniffer-filter EXPRESSION 配置嗅探器使用BPF过滤器(此操作会开启嗅探器);
-P, --parsers PARSERS 解析指定的数据包并用逗号分隔(此操作会开启嗅探器),支持
IRC, WHATSAPP, HTTPAUTH, HTTPS, MYSQL, POST, REDIS, DICT, COOKIE, NNTP,
MPD, SNMP, PGSQL, RLOGIN, NTLMSS, SNPP, URL, FTP, DHCP, MAIL, CREDITCARD.
--custom-parser EXPRESSION 使用正则表达式来捕获和显示嗅探的数据(此操作会开启嗅探器),
--silent 如果不是警告或者错误消息,就不显示,默认关闭,
--no-discovery 不主动寻找目标主机,只使用当前的ARP缓存,默认关闭,
--no-spoofing 禁用欺骗,同--spoofer NONE命令,
--no-target-nbns 禁用NBNS主机名,
--half-duplex 使用半双工模式,遇到大流量路由器时可以保证其正常工作,
--proxy 启用HTTP代理和重定向所有HTTP请求,默认关闭,
--proxy-https 启用HTTPS代理和重定向所有HTTPS请求,默认关闭,
--proxy-port PORT 设置HTTP代理端口,默认为8080,
--http-ports PORT1,PORT2 用逗号分隔需要重定向到代理的HTTP端口,默认为80,
--https-ports PORT1,PORT2 用逗号分隔需要重定向到代理的HTTPS端口,默认为443,
--proxy-https-port PORT 设置HTTPS代理端口,默认为8083,
--proxy-pem FILE 为HTTPS代理使用自定义PEM证书文件,默认文件为
/root/.bettercap/bettercap-ca.pem,
--proxy-module MODULE 要么加载Ruby代理模块,要么加载injectjs,
injectcss,injecthtml之一
--custom-proxy ADDRESS 使用一个自定义HTTP上游代理,而不是嵌入式的,
--custom-proxy-port PORT 为自定义的HTTP上游代理指定一个端口,默认为8080,
--no-sslstrip 禁用SSLStrip,
--custom-https-proxy ADDRESS 使用一个自定义HTTPS上游代理,而不是内置的,
--custom-https-proxy-port PORT 为自定义的HTTPS端口指定上游代理,默认为8083,
--custom-redirection RULE 使用自定义的端口重定向,格式是:
PROTOCOL ORIGINAL_PORT NEW_PORT. 例如:TCP 21 2100,重定向所有TCP流量,从端口21定向到端口2100.
--httpd 启用HTTP服务器,默认关闭,
--httpd-port PORT 设置HTTP服务器端口,默认为8081,
--dns FILE 使用DNS服务器文件作为解析表,
--dns-port PORT 设置DNS服务器端口,默认为5300,
--httpd-path PATH 设置HTTP服务器路径,默认为:./,
--kill 杀掉连接目标,不转发,
--packet-throttle NUMBER 设置要发送的每个数据包之间延迟的秒数,
--check-updates 检查更新.

官方部分实验命令举例:

 Default sniffer mode, all parsers enabled:
sudo bettercap -X
Enable sniffer and load only specified parsers:
sudo bettercap -X -P “FTP,HTTPAUTH,MAIL,NTLMSS”
Enable sniffer and use a custom expression:
sudo bettercap -X –custom-parser “password”
Enable sniffer + all parsers and parse local traffic as well:
sudo bettercap -X -L
Enable sniffer + all parsers and also dump everything to a pcap file:
sudo bettercap –sniffer –sniffer-pcap=output.pcap
What about saving only HTTP traffic to that pcap file?
sudo bettercap –sniffer –sniffer-pcap=http.pcap –sniffer-filter “tcp and dst port 80”
Default ARP spoofing mode on the whole network without sniffing:
sudo bettercap

参考:

http://blog.csdn.net/c465869935/article/details/50900067

05-18 17:37