很多人对嗅探3389(远程桌面rdp协议)这一块,还是似懂非懂的,我就写了个总结文章,整理一下各种嗅探、劫持3389的方法,以及一些技巧经验大全,大杂烩,我尽量写得思路清晰一点,容易理解。


利用 Arp 欺骗、劫持、嗅探的方法:

1、直接使用 CAIN 工具嗅探,然后分析嗅探到的数据包,分析方法见底下。

2、先看那机器的终端是谁连过去的,然后架 rdp proxy,然后 arp 欺骗,最后从 rdp proxy 的嗅探记录里,直接拿到登陆明文。

3、钓鱼攻击,使用 Arp 劫持,欺骗本机为目标机器,然后在本机安装本地密码记录软件,例如:WinlogonHack、WinPswLogger 等工具(注意:这些工具都要修改,改成即使是错误密码也要记录,不然你什么都记录不到!),然后坐等管理员连接,得到密码后恢复 Arp 劫持。

4、Arp 劫持 + 中间人转发数据的嗅探的方法,详细描述见底下。 

从 CAIN 嗅探到的 RDP 数据包中,如何得到账号、密码的方法:

你认真看看 CAIN 的数据包,如果是在远程桌面连接工具(mstsc.exe)本地保存密码登录的,那么就直接有明文。

如果不是本地保存登录的,是连接后才输入账号密码的,那么嗅探到的 RDP 数据包里面就有一段是专门解密的,每行一个字母,你认真找找,格式大概是这样的:

…… 省略 ……
Key pressed client-side: 0x2c - 'z'
…… 省略 ……
Key pressed client-side: 0x23 - 'h'
…… 省略 ……
Key pressed client-side: 0x12 - 'a'
…… 省略 ……
Key released client-side: 0x31 - 'n'
…… 省略 ……
Key pressed client-side: 0x22 - 'g'
…… 省略 ……
Key pressed client-side: 0x20 - 'h'
…… 省略 ……
Key pressed client-side: 0x17 - 'a'
…… 省略 ……
Key pressed client-side: 0x31 - 'o'
…… 省略 ……

//字符串为:zhanghao

搜索 Key pressed、Key released 可以得到,是一个个的字母的列出来的,这里就是用户连接成功后所输入的按键信息,组合一下,就可以得出账号密码。

这里要注意一下特殊字符,例如回车、空格、退格等,还有左、右方向键,这是切换输入框光标位置用的,不注意的话,出来的密码顺序是错误的。

同时告诉大家一个防止嗅探、密码记录的小技巧,你可以先输后半段,然后使用鼠标将输入框的光标切换到最前边(为什么不能用方向键切换光标?因为是可以从数据包中得到方向键按键记录的),然后再输入前半段,这样攻击者最终组合出来的密码顺序是错误的。

这招可以对付所有按键记录类软件,当然,你可以再发挥下,使用更复杂的输入顺序。

解开 rdp 数据包工具:

有个工具叫 RDP Parser,可以解开嗅探或截取到的 RDP 数据包文件,然后提取一些按键信息,用来最终拼接出用户名和密码。

Arp 劫持 + 中间人转发数据的嗅探的方法:

这个方法很早了,大概在2010年08月23日左右,有人在他博客发出来(原文章现在已删除了,删除原因见最底下,Google 能找到转载的),地址为:http://hi.baidu.com/0x24/blog/item/641268fc6261888fb901a0dd.html

过了一年半载后,又有人在t00ls论坛发过,具体就不写了,内容大致一样,如下所述。

历时半个月的空闲时间,一个与 CAIN APR RDP 功能相拟的嗅探器工具终于在这个周未完成。

值得一提是CAIN要在双向欺骗下才能嗅到RDP,如果服务端绑定网送,那么也只能嗅到连接,而不能嗅到数据,更别提密码等之类。

hijackport + rdpproxy 可以做到单向欺骗获取RDP数据包并解密还原。

关于 sniffer rdp,比 cain arp rdp 更强大的组合 hijackport + rdpproxy,Me 在附件中演示了两种获取密码方法。

1、钓鱼 (有点二)

2、单向模式 sniffer rdp 比起 cain arp rdp 更强 (cain arp rdp 要取得密码等信息必需双向模式. hijackport + rdpproxy 可以突破对方在绑定的情况下获得密码或对方所输入的所有键盘消息)

具体演示,请到我的网盘下载:hijackportrdpproxy.rar,网盘地址:http://9780399.ys168.com/

其他另类 Arp 方法:

转自:http://hi.baidu.com/0x24/blog/item/0dccbd4c64454ce7d72afcfa.html

时间:2011-12-31 21:09

这个另类,是思路另类一点,走的路不同.

这个直播比1还要早.原理更简单.

原理:

A.中间人

B.目标

C.客户端

注:

因为环境有点点特殊.在这说明一下.过程中..是取不取对方的MAC.只能取得网关MAC.

但也没有关系.为了测试环境达不达要求. 向网关发送了一条ARP.B.目标挂掉.整个恢复过程20分钟

由此判断网关没有绑定.是可以ARP.但一条ARP可以导至目标挂掉20分钟.这也说明网关的ARP表刷新的速度是每20分种一次.如何在没有目标MAC就意味着.通过中间人去进行数据转发.所以做了一个很大胆的测试.

1.每隔20分钟发送一次ARP欺骗.

2.模拟ICMP使其能ping通目标.

3.模拟TCP三次握手.伪造http反回一个黑页假象.

4.C --> B.3389 转为 C --> A.3389 记录密码

5.如果成功取得密码.停止端口转向.停止模拟.停止arp发送.等待网关刷新arp缓存.这时双方都不能登录.直到网关刷新.在这个漫长的等待中.ping 目标IP -T 抢在管理上线.

6.接下来就是拼人品.

整个直播记录.花费21分钟左右.成功获取 hack58 权限,下载地址:http://9780399.ys168.com/

相关工具介绍:

1、rdpproxy:Rdp Proxy 一个转发rdp协议数据包的软件,用于转发3389的数据,然后截取,你懂的……

2、hijackport:Hijack Port 劫持端口用的,一般和 Rdp Proxy 配套使用。

3、Cain:著名的综合黑客工具,大家都懂,就不解释了……

4、RDP Parser:可以解开嗅探或截取到的 RDP 数据包文件,然后提取一些按键信息,用来最终拼接出用户名和密码。

关于作者删除那篇文章,作者说是:

http://hi.baidu.com/0x24/blog/item/af60ae233af96e4092580795.html

2010-09-08 8:30:本来想公开 hijackport + rdpproxy 的,但我有所改变,我很绕幸的是之前得得过它的人,因为有两个很大的bug,使之在很多实践环境下无效..呵呵.......................最后删贴删贴......


2012-2-26 22:39:25 补充:

Arp EMP v1.0 发布 & 技术文档 & 详细分析 hijackport + rdpproxy


2012-2-27 14:53:49 补充:

哈哈,此事就此打住,互相攻击没好处,握手交友,和为贵!

留言评论(旧系统):

jj @ 2012-02-21 16:00:09

好文章

本站回复:

多多捧场 \(^o^)/

【匿名者】 @ 2012-02-23 16:33:48

期待你(嗅探、劫持 3389 端口、远程桌面、rdp 协议的一些经验技巧总结)中提到改写的利器

本站回复:

最近没有时间,很忙,以后有空了写出来,公开下载。

【匿名者】 @ 2012-02-23 21:41:37

你有什么权力指责OPEN,还以为多狠,OPEN写出来了就是有本事,没本事就不要乱吠

本站回复:

请问你是何人,你又有什么权利跑我这来乱吠? So,你又从哪里看出来我语言里有指责的意思? 我只是十分讨厌他的做法而已,这跟你又有什么关系? 从你的言词里,我觉得你这句话最后俩字十分对得起你。

【匿名者】 @ 2012-02-23 22:58:20

只会含沙射影,暗箭伤人,OPEN写出这个花了半个月你也许得半年,不要以为自己多牛B。

本站回复:

首先,我从来没说过我很牛逼,本人超级菜鸟一个,只会开关机。 其次,我只看到您除了会喷之外,貌似什么都不会。 如果您觉得您喷人技能已经点 Max 了,可以去百度贴吧,那里喷神很多,你们可以互喷…… 包爽哟,亲~ 少年,为人要和气处事,吵架滴不好哟~ ╮(╯_╰)╭

奥特曼 @ 2012-02-26 23:36:27

有意思。

本站回复:

(⊙_⊙)?

【你亲爹】 @ 2012-02-27 00:56:53

臭傻逼一个 我操你全家!

本站回复:

试问,你连JJ都没有,你拿什么操呢?

haha @ 2012-02-27 09:13:03

看来我一句玩笑话让你跟OPEN结下梁子了。 公鸡的技术肯定不差,绝对不在OPEN以及他周围那些之下。 当然OPEN他们也不是简单人物的说。 不过公鸡你那句带点稍微攻击OPEN的话还是不要讲了。 虽然有些人也不喜欢OPEN的做法的说,拿出来显摆一下然后又故作高姿态消失鸟。 还一本正经的说:“东西不给,如果非要的话,十万” 这句任谁听了都不爽。呵呵。 另外,那个谁说的“会点VB的货就出来显摆”这句话真不同意哈。。

本站回复:

^_^,呵呵,你说的就是我想说的,你理解我!

11 @ 2012-02-27 09:36:39

本来不想回应了,但是还是回一下,任何不是cnmoker或者robert ID回复的留言都不是本人,如果有需要求证的可以加我的Q:1972097. 不要随便臆断什么事情。

本站回复:

嗯,不管是谁不谁的,事情过去就过了,等它平息吧,互相攻击,对谁都不好。

鬼哥 @ 2012-02-27 19:25:55

支持LCX。技术不是你们这群小孩子 懂的。

本站回复:

囧rz

【匿名者】 @ 2012-02-28 15:47:02

支持lcx的 从你博客里学习了不少东西 现在土司关了 就经常来你这里学习学习

本站回复:

\(^o^)/ ~

【匿名者】 @ 2012-02-28 15:52:43

支持lcx的 从你博客里学习了不少东西 现在土司关了 就经常来你这里学习学习

本站回复:

额……

【匿名者】 @ 2012-04-22 21:28:11

没事看看,LZ几岁啊

本站回复:

-1 岁

cx @ 2012-10-20 12:58:21

站长能交个好友或收个徒弟不?本人小菜,有很多问题自己难以解决!如果站长有时间不吝赐教,请联系...

本站回复:

网上交的“好友”实在太多了,每天被当做百度知道一样提问题,烦不胜烦…… 至于收徒,我没有时间和精力去做这些事,也没有收徒这个兴趣……

佚名 @ 2013-01-18 23:46:58

“hijackport + rdpproxy 可以做到单向欺骗获取RDP数据包并解密还原。” 核总 请问rdpproxy这个工具还能找到吗? 核老大帮帮忙撒。。

本站回复:

已没有保存,你网上搜搜,可能还有下载的。

xun @ 2013-01-21 15:09:58

攻击机将rdp数据转发到目标机后,目标机接下来是怎么做的?

本站回复:

目标机什么都不用做,因为对目标机来说,接收的数据完全是正常的、无异常,进入正常处理流程就行了,该咋办就咋办……

xun @ 2013-01-21 19:39:41

核总,还有就是目标收到我们的rdp数据包,那么这个rdp数据包里面的数据来源ip和mac是网关的还是攻击机的? 还有就是目标肯定接受数据后要响应的,那么他返回的数据包是怎么传的 直接发给网关么

本站回复:

你的问题,文章已具体讲过,见:http://lcx.cc/?i=2272

graytrack @ 2013-02-02 18:25:56

我想问一下cain怎么实现双向欺骗呢?怎么设置

本站回复:

cain本身已经是双向欺骗,而且没有单向欺骗功能,无需设置。

佚名 @ 2013-02-22 16:31:47

请问,用Cain如何嗅探3389呢?

本站回复:

问题太弱智了吧?参阅Cain说明书。

dark @ 2013-03-22 09:44:35

核老大.能给份hijackport不?

本站回复:

并无保留此程序。

佚名 @ 2013-05-22 15:53:01

路过 看到都是大牛

本站回复:

╮(╯_╰)╭

dedecms @ 2013-05-23 10:12:30

我发现核总 与其说最闲的人 也是最忙的人,我没看见过哪个个博主每天挨个的回答问题的 还那么细心,那我也凑个热闹吧,核总有啥好点的“动作片”网站么,你懂!哈哈

本站回复:

你懂的: 5aSc6Imy6LS15peP77yaaHR0cDovL3d3dy5xczk5dy5jb20v77yM6aKk5oqW6ICF5ZCn77yaaHR0cDovL3d3dy5jZHo4LmNvbS8=

核爆炸 @ 2013-12-14 14:16:58

核老大,又是我,核爆炸 找很久了关于一个能做到 arp 端口劫持 目标机端口 到本机指定端口的 工具 没找到,,,不知道老大能否赐予。。。 保不传播,感激不尽。。。 5473428@qq.com 希望你今天心情明媚,嗖的一下就发给我了。

本站回复:

额,没有此类工具……

核爆炸 @ 2013-12-14 18:22:17

写一个程序 arp 欺骗 劫持目标机 3389终端 到本机 指定端口 , 其他端口过滤不劫持, 理论上应该可以写出来吧。

本站回复:

很简单的,你研究一下通讯协议,就知道了,只是一个过滤规则的问题。

核爆炸 @ 2013-12-14 18:49:19

- - 。 核老大能否发发善心 谋谋福利啊 , 简单的写一个出来 biu 的一下丢到我的邮箱吧。 5473428@qq.com 核大大 思密达。。。

本站回复:

伸手党一律砍手!

核爆炸 @ 2013-12-14 19:35:49

。,,。 核老大 , 你就忍心咩。。 好歹你攻击,我爆炸,搭配起来走天下。 帮个忙吧,,,大哥,,给你快递几个娃娃过去好不好啊。。。实在不想求人额,关键是,,, 大佬,,帮下细佬,得唔得 。。谢晒。

本站回复:

-_-|||

豌豆射手 @ 2013-12-22 16:38:44

请问如果嗅探了好长时间还没嗅探到密码怎么办?难道要一直等下去

本站回复:

1、检查嗅探参数是否正确、网络环境是否能嗅探。 2、人品问题……

豌豆射手 @ 2013-12-22 16:40:35

请问如果嗅探了好长时间还没嗅探到密码怎么办?难道要一直等下去

本站回复:

1、检查嗅探参数是否正确、网络环境是否能嗅探。 2、人品问题……

7600 @ 2014-02-21 23:53:55

http://9780399.ys168.com 求此网盘的嗅探 欺骗教程

本站回复:

嗯,那网盘很早就过期了,录像无保存了……

7600 @ 2014-02-22 22:23:34

站长您有嗅探、劫持 3389 端口、远程桌面、rdp 协议的教程吗

本站回复:

没有,这个还需要教程么?

佚名 @ 2014-03-20 21:45:23

楼主,久仰大名,想求你帮个忙

本站回复:

miss @ 2014-04-17 12:13:15

请问怎么修改winloginhack 即使是错误密码也记录?

本站回复:

修改一下条件,具体的你看看源码。

芒果奶茶 @ 2014-04-19 12:37:24

核大大很牛逼的发现了你,弱弱的问下,大型网站后台找不到,通过嗅探之外还有什么方法可以拿下么?

本站回复:

额,方法很多,具体还是要看情况。

芒果奶茶 @ 2014-04-19 22:46:06

又是我芒果奶茶,比如说单子站,虽说我不接单子,不知道单子到底多变态,还是见过很多变态站,如:扫不到后台,没有注入点,XSS漏洞,旁站C段都没有的,百度他的oady更是没有,对于这种变态站想要拿下怎么搞?大大求回复

本站回复:

呵呵,那还是建议你放弃吧……

芒果奶茶 @ 2014-04-19 22:48:04

又是我芒果奶茶,比如说单子站,虽说我不接单子,不知道单子到底多变态,还是见过很多变态站,如:扫不到后台,没有注入点,XSS漏洞,旁站C段都没有的,百度他的oady更是没有,对于这种变态站想要拿下怎么搞?大大求回复

本站回复:

呵呵,那还是建议你放弃吧……

芒果奶茶 @ 2014-04-20 15:46:40

感谢大大回复

本站回复:

-_-|||

bolin @ 2014-11-12 09:17:16

本来打算不玩这块的,看到这么华丽又低调的你,那么问题来了,收徒么?

本站回复:

不收徒,谢谢。

小朋友 @ 2015-09-10 11:28:13

Linux下嗅探rdp的有什么呀

本站回复:

百度