轉(zhuǎn)載：ken如下： telnet登錄時口令部分不回顯，只能抓取從client到server的報文才能獲取明文口令。 所以一般那些監(jiān)視還原軟件無法直接看到口令，看到的多半就是星號(*)。缺省情況 下telnet登錄時進入字符輸入模式，而非行輸入模式，此時基本上是客戶端一有擊鍵 就立即向服務器發(fā)送字符，TCP數(shù)據(jù)區(qū)就一個字節(jié)。在不考慮IP選項、TCP選項介入的 復雜情況下，整個物理幀長度14 20 20 1 = 55。 我是懶得升級，所以一直用Pwin98下的Sniffer Pro 2.6(就是deepin上傳到spp那里 的那個)和古老的NetXray。下面的舉例以Sniffer Pro 2.6為準，更高版本基本類似， 不想切換到2K下測試4.5版了。 Capture --> Define Filter... --> Profiles... --> New... 如果你已經(jīng)有TCP模板或者更精確的模板，就選它們，沒有的話，選擇根據(jù)Default模 板創(chuàng)建，起個相關(guān)點的名字，別什么test1、test2的就來了，我起名 telnet_username_passwd。一路確定(Done)，回到Define Filter對話框。 進入Advanced設置頁，選中IP/TCP/TELNET。 Packet Size Packet Type Equal 59 只選中Normal Size = 59 進入Data Pattern設置頁，Add Pattern，選擇 Packet 46 2 Hex 數(shù)據(jù)區(qū)設置50 18 描述成"tcp頭20字節(jié)、ack psh"(這里任意描述，但應該有意義) 進入Address設置頁，設置根據(jù)IP地址過濾，設置"clientIp --> serverIp"的過濾模 式。不要設置成雙向或者"serverIp --> clientIp"，否則干擾信息太多。 點擊確定后這條"telnet_username_passwd"過濾規(guī)則就設置完了。什么意思？很直白， 只捕獲從客戶端到服務器的、TCP數(shù)據(jù)區(qū)只有一個字節(jié)的、帶ACK PSH標志的、不帶IP 選項和TCP選項的正常TELNET報文。 可能你有疑問，為什么設置Size = 59，而不是55。我也很想知道Sniffer Pro哪里吃 錯藥了。以太網(wǎng)幀的確應該是55，可是如果加上4字節(jié)的CRC校驗和，就是59了。 Sniffer Pro在decode顯示中沒有顯示這個4字節(jié)CRC校驗和，卻在設置Packet Size的 地方包含了它，簡直就是毛病。NetXray在decode顯示中顯示了4字節(jié)CRC校驗和，在 設置Packet Size的地方并不包含它，也就是說，同樣的規(guī)則如果換到NetXray那里， 應該是Size = 55。顯然我們習慣NetXray的這些地方，可惜sniffer pro丟棄了太多 NetXray好的一面，這次又是一個例證。 順便問一下，誰知道在Unix/Linux下編程的時候如何得到這4字節(jié)的CRC校驗和，鏈路 層編程收包得到的僅僅是以太網(wǎng)幀，沒有CRC。 回到看口令的問題上來，設置了上述規(guī)則后，實際就可以看到用戶名、口令以及登錄 后的擊鍵了。干擾信息相當少，一眼就可以看出哪個是哪個。 如果要玩點玄的，比如Trigger，我們可以這樣考慮問題。第一個有效包應該是59字 節(jié)，前面的其他報文在做三次握手、TELNET協(xié)商，長度都不是59字節(jié)(可以抓包確認 這個結(jié)論)。定義一條規(guī)則"telnet_username begin"，對于這次的舉例，實際就和 "telnet_username_passwd"一樣，但是最好選擇后者做模板單獨重新定義一次，為什 么？這個以后自然就會明白，至少可以讓設置清晰、直觀些。 最后一個有效包(就是說看到這個包后停止抓包)應該是什么呢？不能是60字節(jié)的0D 0A(對于微軟平臺的telnet)或者0D 00(Unix平臺)，因為用戶名輸入結(jié)束的時候就有 一次60字節(jié)的報文出現(xiàn)，如果選擇這樣的報文做結(jié)束報文，口令就抓不到了?？紤]登 錄成功后服務器都會向客戶機發(fā)送"Last login:"一類的信息，同一個包中還包括登 錄后的shell顯示，這個包顯然要比前后附近的包大很多(不是三四個字節(jié)的問題)。 我們以此包為結(jié)束觸發(fā)報文。定義一條規(guī)則"telnet_passwd end"，以 "telnet_username begin"為模板創(chuàng)建，修改兩個地方，一個是"Size > 100"，一個 是"clientIp <-- serverIp"(反向，因為這個報文是從服務器到客戶機的)。 至此我們定義了三條規(guī)則，一個開始觸發(fā)規(guī)則、一個持續(xù)抓包規(guī)則、一個結(jié)束觸發(fā)規(guī) 則。開始設置Trigger： Capture --> Trigger Setup... 四個復選框中只選中"Start Tigger"、"Stop Trigger"。因為以前沒有設置過，無法 從下拉列表中選擇什么，只能分別定義觸發(fā)器。以Start Trigger為例，進入Define， New一個新的觸發(fā)器名字，起名"telnet_username begin"(不必和過濾規(guī)則一致，但 是保持一致比較清晰)，右邊三個復選框只選中最下面的"Event filter"，那個下拉 列表里實際對應過濾規(guī)則，選中"telnet_username begin"過濾規(guī)則，確定。這里還 可以設置什么時間開始觸發(fā)，不過作為演示，簡化這些可能。 Capture的下拉列表里也是對應的過濾規(guī)則，選中"telnet_username_passwd"過濾規(guī) 則(持續(xù)抓包規(guī)則)。 "Stop Trigger"的定義類似"Start Trigger"，這次選擇"telnet_passwd end"過濾規(guī) 則，起名"telnet_passwd end"。同樣，演示中不考慮時間設置，簡化操作。 可以指定在結(jié)束觸發(fā)條件滿足后還多抓幾個包，比如指定多抓2個包。 確定后這個觸發(fā)器生效。什么意思呢。Sniffer Pro自動開始捕獲報文，但是并不保 存，直到碰上一個報文匹配了"telnet_username begin"過濾規(guī)則，此時開始保存在 自己的緩沖區(qū)中。然后根據(jù)Capture處選擇的"telnet_username_passwd"過濾規(guī)則持 續(xù)抓包。一直到結(jié)束觸發(fā)條件"telnet_passwd end"被滿足。多抓兩個包后徹底停止 抓包。查看結(jié)果，就完整地對應了登錄過程中用戶名、口令的輸入過程，很容易恢復 出口令明文和用戶名。 Trigger作用下的顯示結(jié)果顯式標注了Start Trigger和Stop Trigger的位置，這之間 的就是我們關(guān)心的內(nèi)容。先是用戶名，然后緊跟口令明文，最后是兩次登錄成功的擊 鍵。0D 0A或者0D 00被過濾掉，登錄協(xié)商信息也被扔掉了。 如果不熟悉sniffer pro的操作，可能看了之后還是比較模糊，可以對照著實地操作 一下，其實不難。開始觸發(fā)規(guī)則和持續(xù)抓包規(guī)則可以不一樣，這次舉例比較特殊而已。 現(xiàn)在交換環(huán)境以及加密傳輸越來越普及，單純靠這些小把戲抓口令已經(jīng)意義不大了。 很多人估計從來就沒有用過Trigger。你驗證過之后完全可以根據(jù)自己實際需要定義 Trigger，基本思路是，定義三條規(guī)則，一個開始觸發(fā)、一個持續(xù)抓包、一個結(jié)束觸 發(fā)，要區(qū)分共性、特性，考慮結(jié)合時間觸發(fā)設置。至于Alarm觸發(fā)設置，以后有實際 應用舉例的時候再介紹，現(xiàn)在介紹你暈我也暈。 Pwin98下Sniffer Pro 2.6毛病很多，使用Trigger后很容易藍屏。我沒有切換到2K下 測試4.5版是否還有這個毛病。 今天發(fā)現(xiàn)telnet過程使用行輸入模式是荒蕪陳舊的，不推薦使用，但用戶可以Ctrl-] 進入telnet>模式，輸入mode line(可能要兩次)切換到行輸入模式，Pwin98的 telnet.exe如何切換進入行輸入模式，我也不知道。 如果有人吃瘋了，以行輸入模式登錄，口令明文就在單包中，用戶名在另一單包中， 更容易恢復出來。作為上述Trigger設置卻要失效了。Cterm登錄的時候用的應該就是 行輸入模式。此時一個辦法就是不用Trigger，直接抓包看就可以了。如果要指定 Trigger，應該修改開始觸發(fā)規(guī)則和持續(xù)抓包規(guī)則，結(jié)束觸發(fā)規(guī)則不必修改。持續(xù)抓 包規(guī)則就設置成telnet協(xié)議報文即可，因為用戶名和口令明文到底多長不清楚，即使 還做數(shù)據(jù)區(qū)長度限制，也應該換成 58 < Size < 100。開始觸發(fā)規(guī)則換成Size = 70， 從客戶機到服務器，這樣的包在login提示符出現(xiàn)前只有一個，是個telnet協(xié)商報文， 也比較靠近login提示符出現(xiàn)的時候，干擾信息較少，我暫時沒有更好的想法來設置 開始觸發(fā)規(guī)則。 修正后的Trigger既可以對付單字符輸入模式登錄，也可以對付行輸入模式登錄，不 過在對付單字符輸入模式登錄的時候沒有前一個Trigger好，干擾信息稍微多了幾個。 這里介紹的Trigger不是最好的，僅僅是演示效果。大家可以發(fā)揮自己的想象力設置 高效實用的Trigger(我憎恨Trigger，回去睡覺，2001-04-15 07:56)。 下午過來時想到，開始觸發(fā)規(guī)則可以用clientIp <-- serverIp，服務器始終會給客 戶機一個"login:"提示，可以用它做開始觸發(fā)。對于登錄Solaris和Linux有所不同， 需要分別抓包確認其中區(qū)別，比如Solaris提示"login:"之后還有一些協(xié)商過程，而 Linux沒有。輸入口令錯誤，第二次提示"login:"的報文就和Linux一樣了，也是65個 字節(jié)(包括CRC)。提示"login:"的時候，如果連續(xù)兩次回車，服務器給客戶機的提示 報文又有不同。根據(jù)具體情況抓包分析，按照某種原則選擇合適的報文，設置開始觸 發(fā)規(guī)則。顯然沒有一勞永逸、放之四海皆準的觸發(fā)規(guī)則。 對于結(jié)束觸發(fā)規(guī)則，如果服務器上用戶主目錄$HOME下有一個.hushlogin文件存在， 則服務器回顯客戶機的時候，沒有"Last login:"信息，頂多是登錄shell的顯示(也 就幾個字節(jié))，此時前面設置的結(jié)束觸發(fā)規(guī)則失效。演示舉例中不考慮這些非普遍現(xiàn) 象，真要對付所有情況，應該自己寫程序做內(nèi)容過濾，確定各種觸發(fā)條件。 現(xiàn)在來總結(jié)一下稍微通用點的Trigger設置： 1) 開始觸發(fā)規(guī)則"telnet_username begin" clientIp <-- serverIp 這個根據(jù)需要調(diào)整，必要時可以使用Any，不過對于Trigger， 使用Any的可能不大，仔細想想為什么。 TELNET協(xié)議，只抓Normal報文。 ACK PSH 標志，至少不要讓帶SYN的兩個報文混進來吧。也就是在Data Pattern處設 置Packet 46 2 Hex，數(shù)據(jù)區(qū)設置50 18。這樣做了之后實際意味著帶IP選項、TCP選 項的報文被丟棄，進一步減少干擾信息。 69 < Packet Size < 72，不解釋了，分別登錄Solaris/Linux，自己抓包看看。 2) 持續(xù)抓包規(guī)則"telnet_username_passwd" clientIp --> serverIp 因為口令不回顯，只能抓從客戶機到服務器的擊鍵獲取口令。 沒有必要抓服務器的回顯，減少干擾信息。 TELNET協(xié)議，只抓Normal報文。 58 < Packet Size < 100 主要是考慮了使用Cterm登錄的時候，進入行輸入模式。如 果不考慮這種情況，完全可以指定Size = 59，這樣要精確得多。 在Data Pattern處設置Packet 46 2 Hex，數(shù)據(jù)區(qū)設置50 18。解釋同上。 3) 結(jié)束觸發(fā)規(guī)則"telnet_passwd end" clientIp <-- serverIp，telnet協(xié)議，Packet Size > 100，只抓Normal報文。 在Data Pattern處設置Packet 46 2 Hex，數(shù)據(jù)區(qū)設置50 18。解釋同上。 上面是說如何捕獲telnet登錄口令，同理，要在公共機房捕獲BBS登錄口令，首先抓 包簡單分析一下，設置不同的觸發(fā)條件，一樣容易實現(xiàn)。這個我就不寫那么直白了， 否則要被人砍死的。 修改持續(xù)抓包規(guī)則，Size = 59，其他不變，起名"telnet_key"，不設置Trigger，直 接捕獲客戶機到服務器的擊鍵，我覺得這個設置簡單、高效、實用

最新評論