关于cain嗅探3389

目标远程端口多少 改为多少
[Client decrypted packet] - 385 bytes total; 358 bytes decrypted
0000 03 00 01 81 02 f0 80 64 00 03 03 eb 70 81 72 48 .......d....p.rH
0010 00 00 00 c5 12 e7 f1 66 40 5d 3a 04 08 04 08 b3 .......f@]:.....
0020 47 03 00 1e 00 14 00 00 00 00 00 00 00 4f 00 52 G............O.R
0030 00 47 00 41 00 4e 00 49 00 5a 00 41 00 2d 00 36 .G.A.N.I.Z.A.-.6
0040 00 32 00 31 00 43 00 41 00 33 00 00 00 67 00 61 .2.1.C.A.3...g.a
0050 00 6d 00 65 00 31 00 33 00 37 00 2d 00 38 00 36 .m.e.1.3.7.-.8.6
0060 00 00 00 00 00 00 00 00 00 02 00 18 00 31 00 39 .............1.9
0070 00 32 00 2e 00 31 00 36 00 38 00 2e 00 31 00 2e .2...1.6.8...1..
0080 00 35 00 00 00 40 00 43 00 3a 00 5c 00 57 00 69 .5...@.C.:.\.W.i

ORGANIZA-621CA3为计算机名
登录是用户名输入ORGANIZA-621CA3\game137-86
管理员用户为game137-86

如何得到账号、密码的方法： 你认真看看 CAIN 的数据包，如果是在远程桌面连接工具（mstsc.exe）本地保存密码登 录的，那么就直接有明文。 如果不是本地保存登录的，是连接后才输入账号密码的，那么嗅探到的 RDP 数据包里面 就有一段是专门解密的，每行一个字母，你认真找找，格式大概是这样的： …… 省略 …… Key pressed client-side: 0x2c - 'z' …… 省略 …… Key pressed client-side: 0x23 - 'h' …… 省略 …… Key pressed client-side: 0x12 - 'a' …… 省略 …… Key released client-side: 0x31 - 'n' …… 省略 …… Key pressed client-side: 0x22 - 'g' …… 省略 …… Key pressed client-side: 0x20 - 'h' …… 省略 …… Key pressed client-side: 0x17 - 'a' …… 省略 …… Key pressed client-side: 0x31 - 'o' …… 省略 …… //字符串为：zhanghao 搜索 Key pressed、Key released 可以得到，是一个个的字母 的列出来的，这里就是用户连接成功后所输入的按键信息，组合一下，就可以得出账号密码。 这里要注意一下特殊字符，例如回车、空格、退格等，还有左、右方向键，这是切换输入框 光标位置用的，不注意的话，出来的密码顺序是错误的
======================================================================================
 很多人对嗅探3389（远程桌面rdp 协议）这一块，还是似懂非懂的，我就写了个总结文章， 整理一下各种嗅探、劫持3389 的方法，以及一些技巧经验大全，大杂烩，我尽量写得思路 清晰一点，容易理解。 利用 Arp 欺骗、劫持、嗅探的方法： 1、直接使用 CAIN 工具嗅探，然后分析嗅探到的数据包，分析方法见底下。 2、先看那机器的终端是谁连过去的，然后架 rdp proxy，然后 arp 欺骗，最后从 rdp proxy 的嗅探记录里，直接拿到登陆明文。 3、钓鱼攻击，使用 Arp 劫持，欺骗本机为目标机器，然后在本机安装本地密码记录软件， 例如：WinlogonHack、WinPswLogger 等工具（注意：这些工具都要修改，改成即使是 错误密码也要记录，不然你什么都记录不到！），然后坐等管理员连接，得到密码后恢复 Ar p 劫持。 4、Arp 劫持 + 中间人转发数据的嗅探的方法，详细描述见底下。 从 CAIN 嗅探到的 RDP 数据包中，如何得到账号、密码的方法： 你认真看看 CAIN 的数据包，如果是在远程桌面连接工具（mstsc.exe）本地保存密码登 录的，那么就直接有明文。 如果不是本地保存登录的，是连接后才输入账号密码的，那么嗅探到的 RDP 数据包里面 就有一段是专门解密的，每行一个字母，你认真找找，格式大概是这样的： …… 省略 …… Key pressed client-side: 0x2c - 'z' …… 省略 …… Key pressed client-side: 0x23 - 'h' …… 省略 …… Key pressed client-side: 0x12 - 'a' …… 省略 …… Key released client-side: 0x31 - 'n' …… 省略 …… Key pressed client-side: 0x22 - 'g' …… 省略 …… Key pressed client-side: 0x20 - 'h' …… 省略 …… Key pressed client-side: 0x17 - 'a' …… 省略 …… Key pressed client-side: 0x31 - 'o' …… 省略 …… //字符串为：zhanghao 搜索 Key pressed、Key released 可以得到，是一个个的字母 的列出来的，这里就是用户连接成功后所输入的按键信息，组合一下，就可以得出账号密码。 这里要注意一下特殊字符，例如回车、空格、退格等，还有左、右方向键，这是切换输入框 光标位置用的，不注意的话，出来的密码顺序是错误的。 同时告诉大家一个防止嗅探、密码记录的小技巧，你可以先输后半段，然后使用鼠标将输入 框的光标切换到最前边（为什么不能用方向键切换光标？因为是可以从数据包中得到方向键 按键记录的），然后再输入前半段，这样攻击者最终组合出来的密码顺序是错误的。 这招可以对付所有按键记录类软件，当然，你可以再发挥下，使用更复杂的输入顺序。 解开 rdp 数据包工具： 有个工具叫 RDP Parser，可以解开嗅探或截取到的 RDP 数据包文件，然后提取一些按 键信息，用来最终拼接出用户名和密码。 Arp 劫持 + 中间人转发数据的嗅探的方法： 这个方法很早了，大概在2010 年08 月23 日左右，有人在他博客发出来（原文章现在已 删除了，删除原因见最底下，Google 能找到转载的），内容如下： 本来想公开 hijackport + rdpproxy 的，但我有所改变，我很绕幸的是之前得得过它的 人，因为有两个很大的bug，使之在很多实践环境下无效..呵呵…………………..最后删贴删 贴…… 过了一年半载后，又有人在t00ls 论坛发过，具体就不写了，内容大致一样，如下所述。 历时半个月的空闲时间，一个与 CAIN APR RDP 功能相拟的嗅探器工具终于在这个周未 完成。 值得一提是 CAIN 要在双向欺骗下才能嗅到 RDP，如果服务端绑定网送，那么也只能嗅到 连接，而不能嗅到数据，更别提密码等之类。 hijackport + rdpproxy 可以做到单向欺骗获取RDP 数据包并解密还原。 关于 sniffer rdp，比 cain arp rdp 更强大的组合 hijackport + rdpproxy，Me 在附 件中演示了两种获取密码方法。 1、钓鱼 (有点二) 2、单向模式 sniffer rdp 比起 cain arp rdp 更强 （cain arp rdp 要取得密码等信息 必需双向模式. hijackport + rdpproxy 可以突破对方在绑定的情况下获得密码或对方 所输入的所有键盘消息） 其他另类 Arp 方法： 这个另类,是思路另类一点,走的路不同. 这个直播比1 还要早.原理更简单. 原理: A.中间人 B.目标 C.客户端 注: 因为环境有点点特殊.在这说明一下.过程中..是取不取对方的MAC.只能取得网关MAC. 但也没有关系.为了测试环境达不达要求. 向网关发送了一条 ARP.B.目标挂掉.整个恢复过 程20 分钟 由此判断网关没有绑定.是可以ARP.但一条ARP 可以导至目标挂掉20 分钟.这也说明网关 的ARP 表刷新的速度是每20 分种一次.如何在没有目标MAC 就意味着.通过中间人去进行 数据转发.所以做了一个很大胆的测试. 1.每隔20 分钟发送一次ARP 欺骗. 2.模拟ICMP 使其能ping 通目标. 3.模拟TCP 三次握手.伪造http 反回一个黑页假象. 4.C –> B.3389 转为 C –> A.3389 记录密码 5.如果成功取得密码.停止端口转向.停止模拟.停止 arp 发送.等待网关刷新 arp 缓存.这时 双方都不能登录.直到网关刷新.在这个漫长的等待中.ping 目标IP -T 抢在管理上线. 6.接下来就是拼人品. 整个直播记录.花费 21 分钟左右.成功获取 hack58 权限，下载地址：http://9780399. ys168.com/ 相关工具介绍： 1、rdpproxy：Rdp Proxy 一个转发 rdp 协议数据包的软件，用于转发 3389 的数据， 然后截取，你懂的…… 2、hijackport：Hijack Port 劫持端口用的，一般和 Rdp Proxy 配套使用。 3、Cain：著名的综合黑客工具，大家都懂，就不解释了…… 4、RDP Parser：可以解开嗅探或截取到的 RDP 数据包文件，然后提取一些按键信息， 用来最终拼接出用户名和密码。