Bettercap的安裝和使用嗅探WIFI

一、首先安裝bettercap

我這里的環境是ubuntu 16.04

apt-get install build-essential ruby-dev libpcap-dev git ruby
gem install bettercap

二、開始嗅探：

bettercap -I wlp9s0b1 -X

然后會自動發現主機：

之后開始嗅探如下圖其實是一張照片。

后面還能看到有人在使用微信，不過騰訊對內容做了加密是沒有明文內容的。

 下面是摘自他人博客的bettercap具體參數教程：

-h, --help                          使用幫助;
-G, --gateway ADDRESS               手動指定網關地址,如果沒有指定當前的網關,網關將被自動檢索和使用;
-I, --interface                     指定網絡接口名，默認為eth0;
-S, --spoofer NAME                  指定欺騙模塊，此參數默認為ARP，支持ICMP與ARP,可設為None;
-T, --target ADDRESS1,ADDRESS2      目標IP地址,如果沒有將指定整個子網為目標,
    --ignore ADDRESS1,ADDRESS2      尋找目標時,忽略指定的地址;
-O, --log LOG_FILE                  把所有消息記錄到一個文件中,如果未指定則只打印到shell,
    --log-timestamp                 啟用日志記錄每一行的時間戳,默認禁用;
-D, --debug                         調試功能，會將每一步操作詳細記錄，便於調試;
-L, --local                         解析流經本機的所有數據包（此操作會開啟嗅探器），默認為關閉;
-X, --sniffer                       開啟嗅探器,
    --sniffer-source FILE           加載指定的PCAP包文件,而不是使用接口(此操作將開啟嗅探器),
    --sniffer-pcap FILE             將數據包保存為指定的PCAP文件（此操作會開啟嗅探器),
    --sniffer-filter EXPRESSION     配置嗅探器使用BPF過濾器（此操作會開啟嗅探器);
-P, --parsers PARSERS               解析指定的數據包並用逗號分隔（此操作會開啟嗅探器),支持
    IRC, WHATSAPP, HTTPAUTH, HTTPS, MYSQL, POST, REDIS, DICT, COOKIE, NNTP,
    MPD, SNMP, PGSQL, RLOGIN, NTLMSS, SNPP, URL, FTP, DHCP, MAIL, CREDITCARD.
    --custom-parser EXPRESSION      使用正則表達式來捕獲和顯示嗅探的數據(此操作會開啟嗅探器),
    --silent                        如果不是警告或者錯誤消息,就不顯示,默認關閉,
    --no-discovery                  不主動尋找目標主機,只使用當前的ARP緩存,默認關閉,
    --no-spoofing                   禁用欺騙,同--spoofer NONE命令,
    --no-target-nbns                禁用NBNS主機名,
    --half-duplex                   使用半雙工模式,遇到大流量路由器時可以保證其正常工作,    
    --proxy                         啟用HTTP代理和重定向所有HTTP請求,默認關閉,          
    --proxy-https                   啟用HTTPS代理和重定向所有HTTPS請求,默認關閉,           
    --proxy-port PORT               設置HTTP代理端口,默認為8080,     
    --http-ports PORT1,PORT2        用逗號分隔需要重定向到代理的HTTP端口,默認為80,
    --https-ports PORT1,PORT2       用逗號分隔需要重定向到代理的HTTPS端口,默認為443,
    --proxy-https-port PORT         設置HTTPS代理端口,默認為8083,
    --proxy-pem FILE                為HTTPS代理使用自定義PEM證書文件,默認文件為
                                    /root/.bettercap/bettercap-ca.pem,
    --proxy-module MODULE           要么加載Ruby代理模塊,要么加載injectjs,
                                    injectcss,injecthtml之一 
    --custom-proxy ADDRESS          使用一個自定義HTTP上游代理,而不是嵌入式的,   
    --custom-proxy-port PORT        為自定義的HTTP上游代理指定一個端口,默認為8080,
    --no-sslstrip                   禁用SSLStrip,
    --custom-https-proxy ADDRESS    使用一個自定義HTTPS上游代理,而不是內置的,
    --custom-https-proxy-port PORT  為自定義的HTTPS端口指定上游代理,默認為8083,
    --custom-redirection RULE       使用自定義的端口重定向,格式是:
    PROTOCOL ORIGINAL_PORT NEW_PORT. 例如:TCP 21 2100,重定向所有TCP流量，從端口21定向到端口2100.
    --httpd                         啟用HTTP服務器,默認關閉,
    --httpd-port PORT               設置HTTP服務器端口,默認為8081,
    --dns FILE                      使用DNS服務器文件作為解析表,
    --dns-port PORT                 設置DNS服務器端口,默認為5300,
    --httpd-path PATH               設置HTTP服務器路徑,默認為:./,
    --kill                          殺掉連接目標,不轉發,
    --packet-throttle NUMBER        設置要發送的每個數據包之間延遲的秒數,
    --check-updates                 檢查更新.

官方部分實驗命令舉例：

Default sniffer mode, all parsers enabled: 
sudo bettercap -X
Enable sniffer and load only specified parsers: 
sudo bettercap -X -P “FTP,HTTPAUTH,MAIL,NTLMSS”
Enable sniffer and use a custom expression: 
sudo bettercap -X –custom-parser “password”
Enable sniffer + all parsers and parse local traffic as well: 
sudo bettercap -X -L
Enable sniffer + all parsers and also dump everything to a pcap file: 
sudo bettercap –sniffer –sniffer-pcap=output.pcap
What about saving only HTTP traffic to that pcap file? 
sudo bettercap –sniffer –sniffer-pcap=http.pcap –sniffer-filter “tcp and dst port 80”
Default ARP spoofing mode on the whole network without sniffing: 
sudo bettercap

參考：

http://blog.csdn.net/c465869935/article/details/50900067