Cain v4.9全攻略.doc

Cain v4.9全攻略 制作人：聰哥一、軟件介紹： Cain是著名的windows平臺口令恢復(fù)工具。它能通過網(wǎng)絡(luò)嗅探很容易的恢復(fù)多種口令，能使用字典破解加密的口令，暴力口令破解，錄音VOIP（IP電話）談話內(nèi)容，解碼編碼化的口令，獲取無線網(wǎng)絡(luò)密鑰，恢復(fù)緩存的口令，分析路由協(xié)議等。系統(tǒng)組成 Cain&abel是兩個程序。Cain是圖形界面主程序；abel是后臺服務(wù)程序，由兩個文件組成：Able.exe和Able.dll| 10MB硬盤空間| Microsoft windows 2000/xp/2003| winpcap包驅(qū)動(v2.3或以上；4.0版本支持airpcap網(wǎng)卡)| 程序由以下文件組成：Cain.exe 主程序Ca usermanual.chm 用戶手冊Abel.exe 名為abel的windows服務(wù)Abell.dll 程序支持文件Wordlist.txt 小型口令文件Install.log 程序安裝目錄Oui.txt mac 地址廠商文件winrtgenwinrtgen.exe 字典生成器winrtgencharset.txt 字符集文件driverwinpcap_4_0_beta2.exe 原始winpcap驅(qū)動程序（1）、安裝完畢以后，下圖是cain主界面：1、先來介紹“受保護的緩存口令”。解密器的作用主要是讀取緩存(cookies信息)中保存的各種密碼。你可以點擊左邊的各選項然后點擊上面的你就可以在右邊的窗口看到保存在緩存中的密碼。我的電腦中我都看到了我MSN的帳號和密碼，曾經(jīng)登陸路由器的帳號和密碼，郵箱的密碼。舉例：點擊左邊的IE7口令，再點擊上面的在右邊的窗口你可以看到你曾經(jīng)正確使用網(wǎng)站的提供的保存用戶和密碼的自動登陸功能在這里，如下圖所示。由于是本人的一些帳號信息就打馬賽克不讓大家看了。所以在公用電腦上瀏覽網(wǎng)頁一定不要使用網(wǎng)站提供的保存用戶和密碼功能。2、網(wǎng)絡(luò)這個網(wǎng)絡(luò)主要用來鑒別各域控制器，SQLserver，打印服務(wù)，遠程拔入，終端服務(wù)等。網(wǎng)絡(luò)的左側(cè)用來瀏覽網(wǎng)絡(luò)結(jié)構(gòu)和連接遠程主機。連接到主機就可列出用戶名，工作組，服務(wù)，共享資源等。如下圖，我們清楚的看到20130327-1120開啟了IPC$默認共享連接。同時也可以搜索到計算機的用戶組和組的用戶名，雖然NT版本以前不能建立空連接了，但是還是可以通過提取SID來獲得admin的帳號，因為管理員的SID總是500。如下圖所示3、嗅探器（包含局域網(wǎng)的嗅探和ARP欺騙）嗅探器是CAIN的重點，很多人用CAIN主要就是用這個嗅探器和ARP欺騙。CAIN中的嗅探器，主要嗅探局域網(wǎng)內(nèi)的有用信息，比如各類密碼等。CAIN中的ARP的欺騙，原理是操縱兩臺主機的ARP緩存表，以改變它們之間的正常通信方向，這種通信注入的結(jié)果就是ARP欺騙攻擊，利用ARP欺騙可以獲得明文的信息。1 程序配置首先點擊菜單的配置按鈕出現(xiàn)下圖所示的配置菜單首先選擇用于嗅探的以太網(wǎng)卡（可以是有線網(wǎng)卡也可以是無線網(wǎng)卡），本文中將選擇第一個網(wǎng)卡。下面的選項可以不選。然后轉(zhuǎn)到ARP欺騙選項卡。欺騙選項中可以使用真實的IP地址也可以使用偽裝的IP地址和MAC地址。預(yù)欺騙ARP緩存勾選，下面默認每30秒發(fā)送一次ARP欺騙包。XP系統(tǒng)每2分鐘更新ARP緩存，因此設(shè)置太大就不能達到欺騙的效果，設(shè)置太小會產(chǎn)生太多的ARP流量，如下圖所示：最后一個“使用ARP請求包”單選項，肯定是漢化的家伙打錯了。這個功能實際上是發(fā)送大量的ARP回應(yīng)包。下面這個選項用于過濾一些不進行嗅探的服務(wù)端口，不勾選代表過濾掉不抓取這些信息?！癏TTP表”是定義用戶通過IE瀏覽器提交給網(wǎng)站的用戶和密碼信息。瀏覽網(wǎng)頁會產(chǎn)生很多我們不需要的東西，所以通過“HTTP表”過濾一些我們不感興趣的信息，用戶可以根據(jù)實際情況抓取一些HTTP傳輸中的一些感興趣的內(nèi)容，一般不用去設(shè)置。還有challenge欺騙和追蹤路由我分別詳細講解一下。NTLM的challenge欺騙是telnet身份驗證是一種欺騙手段，在windows 2000中的telnet就使用這一種驗證身份方式，即windows nt lan manager(NTLM)。NTLM這種驗證方式在windows2000下面。如A主機通過telnet訪問B主機，就會直接用A主機當前登陸用戶嘗試登陸。Win2000以后都采用NTLMv2以及域下面的kerberos驗證體系，就不會直接用當前帳戶嘗試登陸。注明：域的登陸是采用kerberos驗證方式。路由追蹤(類似tracert命令)如下圖所示，我測試到達hao123網(wǎng)站的路由路徑，中間經(jīng)過了10個路由器最終到達。每經(jīng)過一個路由ttl值就減1，最大經(jīng)過255個路由。經(jīng)測試這個功能效果不如tracert命令，一旦被防火墻屏蔽了，就進入循環(huán)查找中。這是這一個漢化版軟件功能有問題產(chǎn)生的，所以大家最好用英文原版。漢化的很糟糕的一個軟件實測通過tracert跟蹤路由效果如下圖所示：經(jīng)測試經(jīng)過了10個路由最終到達hao123上面。2 所有的配置選項完成設(shè)置以后，點擊最下面的“主機”界面，然后點擊工具欄的開始嗅探圖標。然后如下圖所示右擊鼠標選擇“掃描MAC地址”即可。然后就能掃描到很多在線的同廣播域主機。3 然后點擊最下面的ARP界面，就進入如下頁面。點擊左側(cè)欄最上面的ARP后，這時在右邊空白處點一下鼠標，上面的就從灰色變成了深藍色。點一下這個加號，出現(xiàn)下圖所示：在這個左側(cè)選擇被欺騙的主機，在右側(cè)選擇一臺或多臺PC，這時候?qū)⒉东@被欺騙主機和其他多臺主機之間的通信數(shù)據(jù)。也可以在右側(cè)選擇網(wǎng)關(guān)地址，則左側(cè)被欺騙主機與廣域網(wǎng)的通信將被捕獲。例中左側(cè)選擇被欺騙主機右側(cè)選擇主機34點擊確定，這時將出現(xiàn)下圖所示配置好ARP欺騙的主機后，我們就可以點一下工具欄的嗅探和ARP欺騙功能開始欺騙。這時候就是采用ARP中間人攻擊，通信雙方的所有數(shù)據(jù)流都要經(jīng)過cain主機轉(zhuǎn)發(fā)。所以能截獲和修改通信雙方的數(shù)據(jù)流。a. FTP密碼嗅探說明：我開始在配置里過濾端口只抓取FTP的信息，通過過濾我們就只抓取FTP的信息。過濾如何設(shè)置，我們再來重新看一遍吧！如下圖所示：這時候我通過29登陸34的FTP服務(wù)器，如下圖所示：通信雙方進行的這樣一個過程的時候，由于我進行了ARP中間人欺騙。然后點擊最下角的“獲取密碼”(passwords)在界面中就可以看到FTP密碼了，如下圖所示：另外我設(shè)置了過濾，所以通信雙方做了一些其他的事情，如雙方進行了telnet登陸。這產(chǎn)生的數(shù)據(jù)中的用戶名和密碼就被過濾掉了。說明：本來說用中文版做教程的，網(wǎng)上找的中文漢化版很多功能使用不了。并且病毒木馬很多，所以只能用英文原版才放心。b. HTTP登陸嗅探HTTP嗅探可以嗅探論壇和博客以及各種網(wǎng)頁登陸提交的用戶名和密碼，這種嗅探用于嗅探主機與網(wǎng)關(guān)之間的HTTP通信流。1 先過濾端口只抓取HTTP協(xié)議，其他協(xié)議都過濾掉。如下圖所示：2、設(shè)置ARP欺騙2到網(wǎng)關(guān)。設(shè)置如下圖所示：上面己經(jīng)講了設(shè)置過程，不再重復(fù)了。3、開啟arp中間人攻擊，然后在2上面登陸路由器6。登陸過程完畢在cain攻擊主機上查看“獲取密碼”。如下圖所示可以看到成功獲取了HTTP登陸路由器的用戶名和密碼：同理也可以獲得其他一些通過HTTP方式，并符合HTTP字段的用戶名和密碼信息。HTTP方式傳送的數(shù)據(jù)是不加密的，HTTPS方式傳送的數(shù)據(jù)才加密。所以銀行，重要的交易平臺都要求用戶使用HTTPS方式瀏覽頁面。嗅探功能就講到這里。其它如telnet和smtp等協(xié)議嗅探操作方法都一樣。4、各種ARP欺騙方法在“嗅探器”的“ARP”界面里還有很多相關(guān)的欺騙工具，如下圖所示：由于要演示上面的欺騙方式，我必須安裝配置很多種服務(wù)器。我這里不一一介紹那些服務(wù)器的配置方式，這些服務(wù)器非常專業(yè)。這里只演示如何進行欺騙。DNS欺騙1. 前面的操作方式一樣，過濾端口處只勾選DNS，其它服務(wù)都被過濾掉。注意DNS服務(wù)是采用UDP的53號端口。2. 然后添加要作ARP欺騙的主機。如下圖所示：我是設(shè)置ARP欺騙1這臺主機。3點擊“ARP-DNS”選項，然后點工具欄的。添加DNS欺騙的網(wǎng)址，如下圖所示：題外話就是大家做釣魚網(wǎng)站，可以直接將DNS請求轉(zhuǎn)到你的釣魚網(wǎng)站。設(shè)置好以后，點擊OK就添加上去了。如下圖所示：4設(shè)置好以后，直接點擊嗅探和ARP欺騙就好了。5在被欺騙主機上訪問百度就進入了億郵電子郵件系統(tǒng)頁面，如下圖所示：同樣訪問hao123也被轉(zhuǎn)到億郵電子郵件系統(tǒng)，如下圖所示：6同時在cain上可以看到DNS欺騙的次數(shù)，如下圖所示： 遠程桌面抓取 我在局域網(wǎng)中通過ARP中間人的方式，抓取主機A與主機B之間的遠程桌面連接。 不知道是因為什么我用xp自帶的遠程桌面工具，然后在cain上抓取不到遠程桌面的連接。反而我把主機A換成了linux平臺。然后利用linux平臺的rdesktop遠程桌面工具連接主機B。反而每次都能夠抓取到遠程桌面的連接。（1） 同樣進行配置，只過濾抓取3389端口信息。（2） 選擇要欺騙的主機，如下圖所示9是Linux主機。3是winxp主機。我要抓取通過Linux主機登陸winxp主機的遠程桌面時，輸入的用戶名和密碼信息。（3） 配置好了，和以前一樣直接點擊ARP欺騙就行。如下圖所示：（4） 我在linux主機上使用rdesktop工具連接winxp主機。（5）我在中間人cain主機上能查看到抓取的連接了。但是這軟件本身有一些問題，引起的后果就是，linux主機登陸超時。連接被重置。（5） 我停止掉ARP中間人攻擊以后，再次通過linux主機登陸winxp主機。這次就能成功登陸了。如下圖所示：這次沒有成功，網(wǎng)上那些通過這個軟件抓取遠程桌面的成功的例子。不知道是不是真實的，可能存在教程做假的事情。因為他們也沒有提供實際的視頻，就不太清楚是不是能抓到。反正說抓到的人少。我這里就不多分析研究，有空我通過ARP欺騙，然后使用ethereal抓取遠程桌面看一下。這個cain的“ARP界面”里好多工具都有局限性。像ARP-FTPS功能、ARP-SSH-1等功能都不好抓。我們知道這些傳輸都是加密的，真抓到了信息肯定也是加密的。假如對方密碼很繁雜，我想你通過抓到的信息想解密出來?？隙ú滑F(xiàn)實。像剛才的遠程桌面就是使用簡單加密方式傳輸?shù)摹?補充內(nèi)容：開啟winxp遠程桌面多用戶登陸（一）、背景介紹：眾所周知，微軟將windows xp系列產(chǎn)品定位于個人桌面操作系統(tǒng)。這就意味著它不像win2000 server或者windows 2003（二者均為服務(wù)器版本），在windows xp中，同一時刻至多只能有一個管理員帳戶登錄。就是說，在某個時刻，如果有任何人用系統(tǒng)管理員帳號通過遠程桌面連接到某一計算機，則原先己登陸的管理員立馬就會被強制注銷，跟著就被踢出“家門”。（二）、操作步驟：我先用XP開啟遠程桌面(3389)后，建立了一個遠程桌面用戶。在另一臺計算機上登陸看會有什么提示。上面我添加的gao用戶隸屬于“遠程桌面用戶組”(Remote Desktop Users)。我現(xiàn)在通過遠程桌面連接就彈出信息，不允許多用戶登陸。1 我們先從網(wǎng)上下載“XP支持多用戶登陸的補丁”文件。2 然后重啟系統(tǒng)，開機按F8鍵選擇進入安全模式下面。之所以要進安全模式下面，是因為這個補丁只有在安全模式下才能替換。3本來要進安全模式下停止“遠程桌面”服務(wù)的。進安全模式下面就己經(jīng)停止了。大家操作的時候看一下這個服務(wù)，如果沒停掉就自己停一下這個服務(wù)。3 接下來，把“XP支持多用戶登陸的補丁”文件包中的termsrv.dll文件，放到c:windowssystem32里面，替換原有的termsrv.dll。還要放一份到c:windowssystem32dllcache里面，也替換原有的termsrv.dll。替換完以后等一會兒，4 點擊運行一下“XP支持多用戶登陸的補丁”批處理文件。用于添加遠程桌面多用戶支持注冊表項。5 重啟進行正常模式，開啟遠程桌面服務(wù)。然后在遠程計算機上登陸遠程桌面?？梢钥吹匠晒Φ顷戇h程桌面了。并且原登陸用戶沒有被彈出來。查看XP登陸用戶，現(xiàn)在就有兩個登陸用戶了。如下圖所示：這次的配置，就這樣結(jié)束了。操作步驟就是進安全模式，替換補丁文件和修改注冊表。之所以進安全模式是因為正常模式文件無法替換，同時遠程桌面服務(wù)在正常模式下也不好停掉。這個服務(wù)是一個關(guān)鍵服務(wù)，它與RPC服務(wù)有依存關(guān)系。你不想開放遠程桌面就直接去掉遠程桌面勾選就好了，這個服務(wù)在正常模式下你也無法停止。 Cain解密器（一） 、介紹cain有很多破解密碼工具，如下圖所示：我這里就隨便介紹一點解密工具的使用。（1） LM&NTLM散列破解winxp用戶密碼，這一個工具用于破解windows系統(tǒng)密碼的工具。1 選擇“LM&NTLM散列”然后右邊窗口鼠標點擊一下，再點擊一下就進入如下畫面。如上圖所示，勾選“包含歷史密碼散列”，然后點擊“下一步”即可。2打叉的代表設(shè)置了密碼的用戶，選定那個用戶。右擊鼠標選擇“暴力破解(NTLM)”3然后出現(xiàn)下圖所示畫面，設(shè)置一下點擊開始破解即可。這里講一下什么是暴力破