Cain v4.9全攻略.doc

Cain v4.9全攻略 制作人：聰哥一、軟件介紹： Cain是著名的windows平臺(tái)口令恢復(fù)工具。它能通過網(wǎng)絡(luò)嗅探很容易的恢復(fù)多種口令，能使用字典破解加密的口令，暴力口令破解，錄音VOIP（IP電話）談話內(nèi)容，解碼編碼化的口令，獲取無線網(wǎng)絡(luò)密鑰，恢復(fù)緩存的口令，分析路由協(xié)議等。系統(tǒng)組成 Cain&abel是兩個(gè)程序。Cain是圖形界面主程序；abel是后臺(tái)服務(wù)程序，由兩個(gè)文件組成：Able.exe和Able.dll| 10MB硬盤空間| Microsoft windows 2000/xp/2003| winpcap包驅(qū)動(dòng)(v2.3或以上；4.0版本支持airpcap網(wǎng)卡)| 程序由以下文件組成：Cain.exe 主程序Ca usermanual.chm 用戶手冊(cè)Abel.exe 名為abel的windows服務(wù)Abell.dll 程序支持文件Wordlist.txt 小型口令文件Install.log 程序安裝目錄Oui.txt mac 地址廠商文件winrtgenwinrtgen.exe 字典生成器winrtgencharset.txt 字符集文件driverwinpcap_4_0_beta2.exe 原始winpcap驅(qū)動(dòng)程序（1）、安裝完畢以后，下圖是cain主界面：1、先來介紹“受保護(hù)的緩存口令”。解密器的作用主要是讀取緩存(cookies信息)中保存的各種密碼。你可以點(diǎn)擊左邊的各選項(xiàng)然后點(diǎn)擊上面的你就可以在右邊的窗口看到保存在緩存中的密碼。我的電腦中我都看到了我MSN的帳號(hào)和密碼，曾經(jīng)登陸路由器的帳號(hào)和密碼，郵箱的密碼。舉例：點(diǎn)擊左邊的IE7口令，再點(diǎn)擊上面的在右邊的窗口你可以看到你曾經(jīng)正確使用網(wǎng)站的提供的保存用戶和密碼的自動(dòng)登陸功能在這里，如下圖所示。由于是本人的一些帳號(hào)信息就打馬賽克不讓大家看了。所以在公用電腦上瀏覽網(wǎng)頁一定不要使用網(wǎng)站提供的保存用戶和密碼功能。2、網(wǎng)絡(luò)這個(gè)網(wǎng)絡(luò)主要用來鑒別各域控制器，SQLserver，打印服務(wù)，遠(yuǎn)程拔入，終端服務(wù)等。網(wǎng)絡(luò)的左側(cè)用來瀏覽網(wǎng)絡(luò)結(jié)構(gòu)和連接遠(yuǎn)程主機(jī)。連接到主機(jī)就可列出用戶名，工作組，服務(wù)，共享資源等。如下圖，我們清楚的看到20130327-1120開啟了IPC$默認(rèn)共享連接。同時(shí)也可以搜索到計(jì)算機(jī)的用戶組和組的用戶名，雖然NT版本以前不能建立空連接了，但是還是可以通過提取SID來獲得admin的帳號(hào)，因?yàn)楣芾韱T的SID總是500。如下圖所示3、嗅探器（包含局域網(wǎng)的嗅探和ARP欺騙）嗅探器是CAIN的重點(diǎn)，很多人用CAIN主要就是用這個(gè)嗅探器和ARP欺騙。CAIN中的嗅探器，主要嗅探局域網(wǎng)內(nèi)的有用信息，比如各類密碼等。CAIN中的ARP的欺騙，原理是操縱兩臺(tái)主機(jī)的ARP緩存表，以改變它們之間的正常通信方向，這種通信注入的結(jié)果就是ARP欺騙攻擊，利用ARP欺騙可以獲得明文的信息。1 程序配置首先點(diǎn)擊菜單的配置按鈕出現(xiàn)下圖所示的配置菜單首先選擇用于嗅探的以太網(wǎng)卡（可以是有線網(wǎng)卡也可以是無線網(wǎng)卡），本文中將選擇第一個(gè)網(wǎng)卡。下面的選項(xiàng)可以不選。然后轉(zhuǎn)到ARP欺騙選項(xiàng)卡。欺騙選項(xiàng)中可以使用真實(shí)的IP地址也可以使用偽裝的IP地址和MAC地址。預(yù)欺騙ARP緩存勾選，下面默認(rèn)每30秒發(fā)送一次ARP欺騙包。XP系統(tǒng)每2分鐘更新ARP緩存，因此設(shè)置太大就不能達(dá)到欺騙的效果，設(shè)置太小會(huì)產(chǎn)生太多的ARP流量，如下圖所示：最后一個(gè)“使用ARP請(qǐng)求包”單選項(xiàng)，肯定是漢化的家伙打錯(cuò)了。這個(gè)功能實(shí)際上是發(fā)送大量的ARP回應(yīng)包。下面這個(gè)選項(xiàng)用于過濾一些不進(jìn)行嗅探的服務(wù)端口，不勾選代表過濾掉不抓取這些信息。“HTTP表”是定義用戶通過IE瀏覽器提交給網(wǎng)站的用戶和密碼信息。瀏覽網(wǎng)頁會(huì)產(chǎn)生很多我們不需要的東西，所以通過“HTTP表”過濾一些我們不感興趣的信息，用戶可以根據(jù)實(shí)際情況抓取一些HTTP傳輸中的一些感興趣的內(nèi)容，一般不用去設(shè)置。還有challenge欺騙和追蹤路由我分別詳細(xì)講解一下。NTLM的challenge欺騙是telnet身份驗(yàn)證是一種欺騙手段，在windows 2000中的telnet就使用這一種驗(yàn)證身份方式，即windows nt lan manager(NTLM)。NTLM這種驗(yàn)證方式在windows2000下面。如A主機(jī)通過telnet訪問B主機(jī)，就會(huì)直接用A主機(jī)當(dāng)前登陸用戶嘗試登陸。Win2000以后都采用NTLMv2以及域下面的kerberos驗(yàn)證體系，就不會(huì)直接用當(dāng)前帳戶嘗試登陸。注明：域的登陸是采用kerberos驗(yàn)證方式。路由追蹤(類似tracert命令)如下圖所示，我測(cè)試到達(dá)hao123網(wǎng)站的路由路徑，中間經(jīng)過了10個(gè)路由器最終到達(dá)。每經(jīng)過一個(gè)路由ttl值就減1，最大經(jīng)過255個(gè)路由。經(jīng)測(cè)試這個(gè)功能效果不如tracert命令，一旦被防火墻屏蔽了，就進(jìn)入循環(huán)查找中。這是這一個(gè)漢化版軟件功能有問題產(chǎn)生的，所以大家最好用英文原版。漢化的很糟糕的一個(gè)軟件實(shí)測(cè)通過tracert跟蹤路由效果如下圖所示：經(jīng)測(cè)試經(jīng)過了10個(gè)路由最終到達(dá)hao123上面。2 所有的配置選項(xiàng)完成設(shè)置以后，點(diǎn)擊最下面的“主機(jī)”界面，然后點(diǎn)擊工具欄的開始嗅探圖標(biāo)。然后如下圖所示右擊鼠標(biāo)選擇“掃描MAC地址”即可。然后就能掃描到很多在線的同廣播域主機(jī)。3 然后點(diǎn)擊最下面的ARP界面，就進(jìn)入如下頁面。點(diǎn)擊左側(cè)欄最上面的ARP后，這時(shí)在右邊空白處點(diǎn)一下鼠標(biāo)，上面的就從灰色變成了深藍(lán)色。點(diǎn)一下這個(gè)加號(hào)，出現(xiàn)下圖所示：在這個(gè)左側(cè)選擇被欺騙的主機(jī)，在右側(cè)選擇一臺(tái)或多臺(tái)PC，這時(shí)候?qū)⒉东@被欺騙主機(jī)和其他多臺(tái)主機(jī)之間的通信數(shù)據(jù)。也可以在右側(cè)選擇網(wǎng)關(guān)地址，則左側(cè)被欺騙主機(jī)與廣域網(wǎng)的通信將被捕獲。例中左側(cè)選擇被欺騙主機(jī)右側(cè)選擇主機(jī)34點(diǎn)擊確定，這時(shí)將出現(xiàn)下圖所示配置好ARP欺騙的主機(jī)后，我們就可以點(diǎn)一下工具欄的嗅探和ARP欺騙功能開始欺騙。這時(shí)候就是采用ARP中間人攻擊，通信雙方的所有數(shù)據(jù)流都要經(jīng)過cain主機(jī)轉(zhuǎn)發(fā)。所以能截獲和修改通信雙方的數(shù)據(jù)流。a. FTP密碼嗅探說明：我開始在配置里過濾端口只抓取FTP的信息，通過過濾我們就只抓取FTP的信息。過濾如何設(shè)置，我們?cè)賮碇匦驴匆槐榘?！如下圖所示：這時(shí)候我通過29登陸34的FTP服務(wù)器，如下圖所示：通信雙方進(jìn)行的這樣一個(gè)過程的時(shí)候，由于我進(jìn)行了ARP中間人欺騙。然后點(diǎn)擊最下角的“獲取密碼”(passwords)在界面中就可以看到FTP密碼了，如下圖所示：另外我設(shè)置了過濾，所以通信雙方做了一些其他的事情，如雙方進(jìn)行了telnet登陸。這產(chǎn)生的數(shù)據(jù)中的用戶名和密碼就被過濾掉了。說明：本來說用中文版做教程的，網(wǎng)上找的中文漢化版很多功能使用不了。并且病毒木馬很多，所以只能用英文原版才放心。b. HTTP登陸嗅探HTTP嗅探可以嗅探論壇和博客以及各種網(wǎng)頁登陸提交的用戶名和密碼，這種嗅探用于嗅探主機(jī)與網(wǎng)關(guān)之間的HTTP通信流。1 先過濾端口只抓取HTTP協(xié)議，其他協(xié)議都過濾掉。如下圖所示：2、設(shè)置ARP欺騙2到網(wǎng)關(guān)。設(shè)置如下圖所示：上面己經(jīng)講了設(shè)置過程，不再重復(fù)了。3、開啟arp中間人攻擊，然后在2上面登陸路由器6。登陸過程完畢在cain攻擊主機(jī)上查看“獲取密碼”。如下圖所示可以看到成功獲取了HTTP登陸路由器的用戶名和密碼：同理也可以獲得其他一些通過HTTP方式，并符合HTTP字段的用戶名和密碼信息。HTTP方式傳送的數(shù)據(jù)是不加密的，HTTPS方式傳送的數(shù)據(jù)才加密。所以銀行，重要的交易平臺(tái)都要求用戶使用HTTPS方式瀏覽頁面。嗅探功能就講到這里。其它如telnet和smtp等協(xié)議嗅探操作方法都一樣。4、各種ARP欺騙方法在“嗅探器”的“ARP”界面里還有很多相關(guān)的欺騙工具，如下圖所示：由于要演示上面的欺騙方式，我必須安裝配置很多種服務(wù)器。我這里不一一介紹那些服務(wù)器的配置方式，這些服務(wù)器非常專業(yè)。這里只演示如何進(jìn)行欺騙。DNS欺騙1. 前面的操作方式一樣，過濾端口處只勾選DNS，其它服務(wù)都被過濾掉。注意DNS服務(wù)是采用UDP的53號(hào)端口。2. 然后添加要作ARP欺騙的主機(jī)。如下圖所示：我是設(shè)置ARP欺騙1這臺(tái)主機(jī)。3點(diǎn)擊“ARP-DNS”選項(xiàng)，然后點(diǎn)工具欄的。添加DNS欺騙的網(wǎng)址，如下圖所示：題外話就是大家做釣魚網(wǎng)站，可以直接將DNS請(qǐng)求轉(zhuǎn)到你的釣魚網(wǎng)站。設(shè)置好以后，點(diǎn)擊OK就添加上去了。如下圖所示：4設(shè)置好以后，直接點(diǎn)擊嗅探和ARP欺騙就好了。5在被欺騙主機(jī)上訪問百度就進(jìn)入了億郵電子郵件系統(tǒng)頁面，如下圖所示：同樣訪問hao123也被轉(zhuǎn)到億郵電子郵件系統(tǒng)，如下圖所示：6同時(shí)在cain上可以看到DNS欺騙的次數(shù)，如下圖所示： 遠(yuǎn)程桌面抓取 我在局域網(wǎng)中通過ARP中間人的方式，抓取主機(jī)A與主機(jī)B之間的遠(yuǎn)程桌面連接。 不知道是因?yàn)槭裁次矣脁p自帶的遠(yuǎn)程桌面工具，然后在cain上抓取不到遠(yuǎn)程桌面的連接。反而我把主機(jī)A換成了linux平臺(tái)。然后利用linux平臺(tái)的rdesktop遠(yuǎn)程桌面工具連接主機(jī)B。反而每次都能夠抓取到遠(yuǎn)程桌面的連接。（1） 同樣進(jìn)行配置，只過濾抓取3389端口信息。（2） 選擇要欺騙的主機(jī)，如下圖所示9是Linux主機(jī)。3是winxp主機(jī)。我要抓取通過Linux主機(jī)登陸winxp主機(jī)的遠(yuǎn)程桌面時(shí)，輸入的用戶名和密碼信息。（3） 配置好了，和以前一樣直接點(diǎn)擊ARP欺騙就行。如下圖所示：（4） 我在linux主機(jī)上使用rdesktop工具連接winxp主機(jī)。（5）我在中間人cain主機(jī)上能查看到抓取的連接了。但是這軟件本身有一些問題，引起的后果就是，linux主機(jī)登陸超時(shí)。連接被重置。（5） 我停止掉ARP中間人攻擊以后，再次通過linux主機(jī)登陸winxp主機(jī)。這次就能成功登陸了。如下圖所示：這次沒有成功，網(wǎng)上那些通過這個(gè)軟件抓取遠(yuǎn)程桌面的成功的例子。不知道是不是真實(shí)的，可能存在教程做假的事情。因?yàn)樗麄円矝]有提供實(shí)際的視頻，就不太清楚是不是能抓到。反正說抓到的人少。我這里就不多分析研究，有空我通過ARP欺騙，然后使用ethereal抓取遠(yuǎn)程桌面看一下。這個(gè)cain的“ARP界面”里好多工具都有局限性。像ARP-FTPS功能、ARP-SSH-1等功能都不好抓。我們知道這些傳輸都是加密的，真抓到了信息肯定也是加密的。假如對(duì)方密碼很繁雜，我想你通過抓到的信息想解密出來?？隙ú滑F(xiàn)實(shí)。像剛才的遠(yuǎn)程桌面就是使用簡(jiǎn)單加密方式傳輸?shù)摹?補(bǔ)充內(nèi)容：開啟winxp遠(yuǎn)程桌面多用戶登陸（一）、背景介紹：眾所周知，微軟將windows xp系列產(chǎn)品定位于個(gè)人桌面操作系統(tǒng)。這就意味著它不像win2000 server或者windows 2003（二者均為服務(wù)器版本），在windows xp中，同一時(shí)刻至多只能有一個(gè)管理員帳戶登錄。就是說，在某個(gè)時(shí)刻，如果有任何人用系統(tǒng)管理員帳號(hào)通過遠(yuǎn)程桌面連接到某一計(jì)算機(jī)，則原先己登陸的管理員立馬就會(huì)被強(qiáng)制注銷，跟著就被踢出“家門”。（二）、操作步驟：我先用XP開啟遠(yuǎn)程桌面(3389)后，建立了一個(gè)遠(yuǎn)程桌面用戶。在另一臺(tái)計(jì)算機(jī)上登陸看會(huì)有什么提示。上面我添加的gao用戶隸屬于“遠(yuǎn)程桌面用戶組”(Remote Desktop Users)。我現(xiàn)在通過遠(yuǎn)程桌面連接就彈出信息，不允許多用戶登陸。1 我們先從網(wǎng)上下載“XP支持多用戶登陸的補(bǔ)丁”文件。2 然后重啟系統(tǒng)，開機(jī)按F8鍵選擇進(jìn)入安全模式下面。之所以要進(jìn)安全模式下面，是因?yàn)檫@個(gè)補(bǔ)丁只有在安全模式下才能替換。3本來要進(jìn)安全模式下停止“遠(yuǎn)程桌面”服務(wù)的。進(jìn)安全模式下面就己經(jīng)停止了。大家操作的時(shí)候看一下這個(gè)服務(wù)，如果沒停掉就自己停一下這個(gè)服務(wù)。3 接下來，把“XP支持多用戶登陸的補(bǔ)丁”文件包中的termsrv.dll文件，放到c:windowssystem32里面，替換原有的termsrv.dll。還要放一份到c:windowssystem32dllcache里面，也替換原有的termsrv.dll。替換完以后等一會(huì)兒，4 點(diǎn)擊運(yùn)行一下“XP支持多用戶登陸的補(bǔ)丁”批處理文件。用于添加遠(yuǎn)程桌面多用戶支持注冊(cè)表項(xiàng)。5 重啟進(jìn)行正常模式，開啟遠(yuǎn)程桌面服務(wù)。然后在遠(yuǎn)程計(jì)算機(jī)上登陸遠(yuǎn)程桌面?？梢钥吹匠晒Φ顷戇h(yuǎn)程桌面了。并且原登陸用戶沒有被彈出來。查看XP登陸用戶，現(xiàn)在就有兩個(gè)登陸用戶了。如下圖所示：這次的配置，就這樣結(jié)束了。操作步驟就是進(jìn)安全模式，替換補(bǔ)丁文件和修改注冊(cè)表。之所以進(jìn)安全模式是因?yàn)檎ＤＪ轿募o法替換，同時(shí)遠(yuǎn)程桌面服務(wù)在正常模式下也不好停掉。這個(gè)服務(wù)是一個(gè)關(guān)鍵服務(wù)，它與RPC服務(wù)有依存關(guān)系。你不想開放遠(yuǎn)程桌面就直接去掉遠(yuǎn)程桌面勾選就好了，這個(gè)服務(wù)在正常模式下你也無法停止。 Cain解密器（一） 、介紹cain有很多破解密碼工具，如下圖所示：我這里就隨便介紹一點(diǎn)解密工具的使用。（1） LM&NTLM散列破解winxp用戶密碼，這一個(gè)工具用于破解windows系統(tǒng)密碼的工具。1 選擇“LM&NTLM散列”然后右邊窗口鼠標(biāo)點(diǎn)擊一下，再點(diǎn)擊一下就進(jìn)入如下畫面。如上圖所示，勾選“包含歷史密碼散列”，然后點(diǎn)擊“下一步”即可。2打叉的代表設(shè)置了密碼的用戶，選定那個(gè)用戶。右擊鼠標(biāo)選擇“暴力破解(NTLM)”3然后出現(xiàn)下圖所示畫面，設(shè)置一下點(diǎn)擊開始破解即可。這里講一下什么是暴力破