轉(zhuǎn)載：ken如下： telnet登錄時(shí)口令部分不回顯，只能抓取從client到server的報(bào)文才能獲取明文口令。 所以一般那些監(jiān)視還原軟件無(wú)法直接看到口令，看到的多半就是星號(hào)(*)。缺省情況 下telnet登錄時(shí)進(jìn)入字符輸入模式，而非行輸入模式，此時(shí)基本上是客戶(hù)端一有擊鍵 就立即向服務(wù)器發(fā)送字符，TCP數(shù)據(jù)區(qū)就一個(gè)字節(jié)。在不考慮IP選項(xiàng)、TCP選項(xiàng)介入的 復(fù)雜情況下，整個(gè)物理幀長(zhǎng)度14 20 20 1 = 55。 我是懶得升級(jí)，所以一直用Pwin98下的Sniffer Pro 2.6(就是deepin上傳到spp那里 的那個(gè))和古老的NetXray。下面的舉例以Sniffer Pro 2.6為準(zhǔn)，更高版本基本類(lèi)似， 不想切換到2K下測(cè)試4.5版了。 Capture --> Define Filter... --> Profiles... --> New... 如果你已經(jīng)有TCP模板或者更精確的模板，就選它們，沒(méi)有的話(huà)，選擇根據(jù)Default模 板創(chuàng)建，起個(gè)相關(guān)點(diǎn)的名字，別什么test1、test2的就來(lái)了，我起名 telnet_username_passwd。一路確定(Done)，回到Define Filter對(duì)話(huà)框。 進(jìn)入Advanced設(shè)置頁(yè)，選中IP/TCP/TELNET。 Packet Size Packet Type Equal 59 只選中Normal Size = 59 進(jìn)入Data Pattern設(shè)置頁(yè)，Add Pattern，選擇 Packet 46 2 Hex 數(shù)據(jù)區(qū)設(shè)置50 18 描述成"tcp頭20字節(jié)、ack psh"(這里任意描述，但應(yīng)該有意義) 進(jìn)入Address設(shè)置頁(yè)，設(shè)置根據(jù)IP地址過(guò)濾，設(shè)置"clientIp --> serverIp"的過(guò)濾模 式。不要設(shè)置成雙向或者"serverIp --> clientIp"，否則干擾信息太多。 點(diǎn)擊確定后這條"telnet_username_passwd"過(guò)濾規(guī)則就設(shè)置完了。什么意思？很直白， 只捕獲從客戶(hù)端到服務(wù)器的、TCP數(shù)據(jù)區(qū)只有一個(gè)字節(jié)的、帶ACK PSH標(biāo)志的、不帶IP 選項(xiàng)和TCP選項(xiàng)的正常TELNET報(bào)文。 可能你有疑問(wèn)，為什么設(shè)置Size = 59，而不是55。我也很想知道Sniffer Pro哪里吃 錯(cuò)藥了。以太網(wǎng)幀的確應(yīng)該是55，可是如果加上4字節(jié)的CRC校驗(yàn)和，就是59了。 Sniffer Pro在decode顯示中沒(méi)有顯示這個(gè)4字節(jié)CRC校驗(yàn)和，卻在設(shè)置Packet Size的 地方包含了它，簡(jiǎn)直就是毛病。NetXray在decode顯示中顯示了4字節(jié)CRC校驗(yàn)和，在 設(shè)置Packet Size的地方并不包含它，也就是說(shuō)，同樣的規(guī)則如果換到NetXray那里， 應(yīng)該是Size = 55。顯然我們習(xí)慣NetXray的這些地方，可惜sniffer pro丟棄了太多 NetXray好的一面，這次又是一個(gè)例證。 順便問(wèn)一下，誰(shuí)知道在Unix/Linux下編程的時(shí)候如何得到這4字節(jié)的CRC校驗(yàn)和，鏈路 層編程收包得到的僅僅是以太網(wǎng)幀，沒(méi)有CRC。 回到看口令的問(wèn)題上來(lái)，設(shè)置了上述規(guī)則后，實(shí)際就可以看到用戶(hù)名、口令以及登錄 后的擊鍵了。干擾信息相當(dāng)少，一眼就可以看出哪個(gè)是哪個(gè)。 如果要玩點(diǎn)玄的，比如Trigger，我們可以這樣考慮問(wèn)題。第一個(gè)有效包應(yīng)該是59字 節(jié)，前面的其他報(bào)文在做三次握手、TELNET協(xié)商，長(zhǎng)度都不是59字節(jié)(可以抓包確認(rèn) 這個(gè)結(jié)論)。定義一條規(guī)則"telnet_username begin"，對(duì)于這次的舉例，實(shí)際就和 "telnet_username_passwd"一樣，但是最好選擇后者做模板單獨(dú)重新定義一次，為什 么？這個(gè)以后自然就會(huì)明白，至少可以讓設(shè)置清晰、直觀些。 最后一個(gè)有效包(就是說(shuō)看到這個(gè)包后停止抓包)應(yīng)該是什么呢？不能是60字節(jié)的0D 0A(對(duì)于微軟平臺(tái)的telnet)或者0D 00(Unix平臺(tái))，因?yàn)橛脩?hù)名輸入結(jié)束的時(shí)候就有 一次60字節(jié)的報(bào)文出現(xiàn)，如果選擇這樣的報(bào)文做結(jié)束報(bào)文，口令就抓不到了?？紤]登 錄成功后服務(wù)器都會(huì)向客戶(hù)機(jī)發(fā)送"Last login:"一類(lèi)的信息，同一個(gè)包中還包括登 錄后的shell顯示，這個(gè)包顯然要比前后附近的包大很多(不是三四個(gè)字節(jié)的問(wèn)題)。 我們以此包為結(jié)束觸發(fā)報(bào)文。定義一條規(guī)則"telnet_passwd end"，以 "telnet_username begin"為模板創(chuàng)建，修改兩個(gè)地方，一個(gè)是"Size > 100"，一個(gè) 是"clientIp <-- serverIp"(反向，因?yàn)檫@個(gè)報(bào)文是從服務(wù)器到客戶(hù)機(jī)的)。 至此我們定義了三條規(guī)則，一個(gè)開(kāi)始觸發(fā)規(guī)則、一個(gè)持續(xù)抓包規(guī)則、一個(gè)結(jié)束觸發(fā)規(guī) 則。開(kāi)始設(shè)置Trigger： Capture --> Trigger Setup... 四個(gè)復(fù)選框中只選中"Start Tigger"、"Stop Trigger"。因?yàn)橐郧皼](méi)有設(shè)置過(guò)，無(wú)法 從下拉列表中選擇什么，只能分別定義觸發(fā)器。以Start Trigger為例，進(jìn)入Define， New一個(gè)新的觸發(fā)器名字，起名"telnet_username begin"(不必和過(guò)濾規(guī)則一致，但 是保持一致比較清晰)，右邊三個(gè)復(fù)選框只選中最下面的"Event filter"，那個(gè)下拉 列表里實(shí)際對(duì)應(yīng)過(guò)濾規(guī)則，選中"telnet_username begin"過(guò)濾規(guī)則，確定。這里還 可以設(shè)置什么時(shí)間開(kāi)始觸發(fā)，不過(guò)作為演示，簡(jiǎn)化這些可能。 Capture的下拉列表里也是對(duì)應(yīng)的過(guò)濾規(guī)則，選中"telnet_username_passwd"過(guò)濾規(guī) 則(持續(xù)抓包規(guī)則)。 "Stop Trigger"的定義類(lèi)似"Start Trigger"，這次選擇"telnet_passwd end"過(guò)濾規(guī) 則，起名"telnet_passwd end"。同樣，演示中不考慮時(shí)間設(shè)置，簡(jiǎn)化操作。 可以指定在結(jié)束觸發(fā)條件滿(mǎn)足后還多抓幾個(gè)包，比如指定多抓2個(gè)包。 確定后這個(gè)觸發(fā)器生效。什么意思呢。Sniffer Pro自動(dòng)開(kāi)始捕獲報(bào)文，但是并不保 存，直到碰上一個(gè)報(bào)文匹配了"telnet_username begin"過(guò)濾規(guī)則，此時(shí)開(kāi)始保存在 自己的緩沖區(qū)中。然后根據(jù)Capture處選擇的"telnet_username_passwd"過(guò)濾規(guī)則持 續(xù)抓包。一直到結(jié)束觸發(fā)條件"telnet_passwd end"被滿(mǎn)足。多抓兩個(gè)包后徹底停止 抓包。查看結(jié)果，就完整地對(duì)應(yīng)了登錄過(guò)程中用戶(hù)名、口令的輸入過(guò)程，很容易恢復(fù) 出口令明文和用戶(hù)名。 Trigger作用下的顯示結(jié)果顯式標(biāo)注了Start Trigger和Stop Trigger的位置，這之間 的就是我們關(guān)心的內(nèi)容。先是用戶(hù)名，然后緊跟口令明文，最后是兩次登錄成功的擊 鍵。0D 0A或者0D 00被過(guò)濾掉，登錄協(xié)商信息也被扔掉了。 如果不熟悉sniffer pro的操作，可能看了之后還是比較模糊，可以對(duì)照著實(shí)地操作 一下，其實(shí)不難。開(kāi)始觸發(fā)規(guī)則和持續(xù)抓包規(guī)則可以不一樣，這次舉例比較特殊而已。 現(xiàn)在交換環(huán)境以及加密傳輸越來(lái)越普及，單純靠這些小把戲抓口令已經(jīng)意義不大了。 很多人估計(jì)從來(lái)就沒(méi)有用過(guò)Trigger。你驗(yàn)證過(guò)之后完全可以根據(jù)自己實(shí)際需要定義 Trigger，基本思路是，定義三條規(guī)則，一個(gè)開(kāi)始觸發(fā)、一個(gè)持續(xù)抓包、一個(gè)結(jié)束觸 發(fā)，要區(qū)分共性、特性，考慮結(jié)合時(shí)間觸發(fā)設(shè)置。至于Alarm觸發(fā)設(shè)置，以后有實(shí)際 應(yīng)用舉例的時(shí)候再介紹，現(xiàn)在介紹你暈我也暈。 Pwin98下Sniffer Pro 2.6毛病很多，使用Trigger后很容易藍(lán)屏。我沒(méi)有切換到2K下 測(cè)試4.5版是否還有這個(gè)毛病。 今天發(fā)現(xiàn)telnet過(guò)程使用行輸入模式是荒蕪陳舊的，不推薦使用，但用戶(hù)可以Ctrl-] 進(jìn)入telnet>模式，輸入mode line(可能要兩次)切換到行輸入模式，Pwin98的 telnet.exe如何切換進(jìn)入行輸入模式，我也不知道。 如果有人吃瘋了，以行輸入模式登錄，口令明文就在單包中，用戶(hù)名在另一單包中， 更容易恢復(fù)出來(lái)。作為上述Trigger設(shè)置卻要失效了。Cterm登錄的時(shí)候用的應(yīng)該就是 行輸入模式。此時(shí)一個(gè)辦法就是不用Trigger，直接抓包看就可以了。如果要指定 Trigger，應(yīng)該修改開(kāi)始觸發(fā)規(guī)則和持續(xù)抓包規(guī)則，結(jié)束觸發(fā)規(guī)則不必修改。持續(xù)抓 包規(guī)則就設(shè)置成telnet協(xié)議報(bào)文即可，因?yàn)橛脩?hù)名和口令明文到底多長(zhǎng)不清楚，即使 還做數(shù)據(jù)區(qū)長(zhǎng)度限制，也應(yīng)該換成 58 < Size < 100。開(kāi)始觸發(fā)規(guī)則換成Size = 70， 從客戶(hù)機(jī)到服務(wù)器，這樣的包在login提示符出現(xiàn)前只有一個(gè)，是個(gè)telnet協(xié)商報(bào)文， 也比較靠近login提示符出現(xiàn)的時(shí)候，干擾信息較少，我暫時(shí)沒(méi)有更好的想法來(lái)設(shè)置 開(kāi)始觸發(fā)規(guī)則。 修正后的Trigger既可以對(duì)付單字符輸入模式登錄，也可以對(duì)付行輸入模式登錄，不 過(guò)在對(duì)付單字符輸入模式登錄的時(shí)候沒(méi)有前一個(gè)Trigger好，干擾信息稍微多了幾個(gè)。 這里介紹的Trigger不是最好的，僅僅是演示效果。大家可以發(fā)揮自己的想象力設(shè)置 高效實(shí)用的Trigger(我憎恨Trigger，回去睡覺(jué)，2001-04-15 07:56)。 下午過(guò)來(lái)時(shí)想到，開(kāi)始觸發(fā)規(guī)則可以用clientIp <-- serverIp，服務(wù)器始終會(huì)給客 戶(hù)機(jī)一個(gè)"login:"提示，可以用它做開(kāi)始觸發(fā)。對(duì)于登錄Solaris和Linux有所不同， 需要分別抓包確認(rèn)其中區(qū)別，比如Solaris提示"login:"之后還有一些協(xié)商過(guò)程，而 Linux沒(méi)有。輸入口令錯(cuò)誤，第二次提示"login:"的報(bào)文就和Linux一樣了，也是65個(gè) 字節(jié)(包括CRC)。提示"login:"的時(shí)候，如果連續(xù)兩次回車(chē)，服務(wù)器給客戶(hù)機(jī)的提示 報(bào)文又有不同。根據(jù)具體情況抓包分析，按照某種原則選擇合適的報(bào)文，設(shè)置開(kāi)始觸 發(fā)規(guī)則。顯然沒(méi)有一勞永逸、放之四海皆準(zhǔn)的觸發(fā)規(guī)則。 對(duì)于結(jié)束觸發(fā)規(guī)則，如果服務(wù)器上用戶(hù)主目錄$HOME下有一個(gè).hushlogin文件存在， 則服務(wù)器回顯客戶(hù)機(jī)的時(shí)候，沒(méi)有"Last login:"信息，頂多是登錄shell的顯示(也 就幾個(gè)字節(jié))，此時(shí)前面設(shè)置的結(jié)束觸發(fā)規(guī)則失效。演示舉例中不考慮這些非普遍現(xiàn) 象，真要對(duì)付所有情況，應(yīng)該自己寫(xiě)程序做內(nèi)容過(guò)濾，確定各種觸發(fā)條件。 現(xiàn)在來(lái)總結(jié)一下稍微通用點(diǎn)的Trigger設(shè)置： 1) 開(kāi)始觸發(fā)規(guī)則"telnet_username begin" clientIp <-- serverIp 這個(gè)根據(jù)需要調(diào)整，必要時(shí)可以使用Any，不過(guò)對(duì)于Trigger， 使用Any的可能不大，仔細(xì)想想為什么。 TELNET協(xié)議，只抓Normal報(bào)文。 ACK PSH 標(biāo)志，至少不要讓帶SYN的兩個(gè)報(bào)文混進(jìn)來(lái)吧。也就是在Data Pattern處設(shè) 置Packet 46 2 Hex，數(shù)據(jù)區(qū)設(shè)置50 18。這樣做了之后實(shí)際意味著帶IP選項(xiàng)、TCP選 項(xiàng)的報(bào)文被丟棄，進(jìn)一步減少干擾信息。 69 < Packet Size < 72，不解釋了，分別登錄Solaris/Linux，自己抓包看看。 2) 持續(xù)抓包規(guī)則"telnet_username_passwd" clientIp --> serverIp 因?yàn)榭诹畈换仫@，只能抓從客戶(hù)機(jī)到服務(wù)器的擊鍵獲取口令。 沒(méi)有必要抓服務(wù)器的回顯，減少干擾信息。 TELNET協(xié)議，只抓Normal報(bào)文。 58 < Packet Size < 100 主要是考慮了使用Cterm登錄的時(shí)候，進(jìn)入行輸入模式。如 果不考慮這種情況，完全可以指定Size = 59，這樣要精確得多。 在Data Pattern處設(shè)置Packet 46 2 Hex，數(shù)據(jù)區(qū)設(shè)置50 18。解釋同上。 3) 結(jié)束觸發(fā)規(guī)則"telnet_passwd end" clientIp <-- serverIp，telnet協(xié)議，Packet Size > 100，只抓Normal報(bào)文。 在Data Pattern處設(shè)置Packet 46 2 Hex，數(shù)據(jù)區(qū)設(shè)置50 18。解釋同上。 上面是說(shuō)如何捕獲telnet登錄口令，同理，要在公共機(jī)房捕獲BBS登錄口令，首先抓 包簡(jiǎn)單分析一下，設(shè)置不同的觸發(fā)條件，一樣容易實(shí)現(xiàn)。這個(gè)我就不寫(xiě)那么直白了， 否則要被人砍死的。 修改持續(xù)抓包規(guī)則，Size = 59，其他不變，起名"telnet_key"，不設(shè)置Trigger，直 接捕獲客戶(hù)機(jī)到服務(wù)器的擊鍵，我覺(jué)得這個(gè)設(shè)置簡(jiǎn)單、高效、實(shí)用

最新評(píng)論