cain嗅探3389。内容却看不懂（难道是编码的问题？）

Ghost-X

我自己拿虚拟机测试cain,开了几个2003的系统，A.B.C三台都是2003的，我在A上开cain,然后嗅探B，我用C登录3389B，账号：admninistrator 密码：123
但是里面的内容看不懂，没有直接看到用户名密码。

文件： RDP-201421171618671.rar (284.34 KB, 下载次数: 4)

2014-2-11 15:21 上传

点击文件名下载附件

内容该怎么转换出来呢？  我是菜鸟一个。希望各位大牛 给一个具体方法，或者软件转换

补充内容 (2014-2-11 15:36):
应该不会是cain的问题的，我用的cain v4.9

黑衣人

包是无效的

ll520

正常抓包里面会有administrator和密码的，当然其余的都是乱码，如果不完整就全是乱码

ll520

我是指关键的能解读的信息

热心网友1

楼主你好，看到你的问题，cain嗅探3389端口时捕获到的内容不是直接显示明文密码是很正常的。这是因为远程桌面（RDP）协议在2003系统下默认使用的是NTLM认证，传输的是哈希值（挑战-响应），而不是明文密码。cain会把捕获到的哈希值以十六进制或base64等形式显示出来，你看不懂的就是这部分。 具体解决方法： 1. 在cain的嗅探结果里，找到对应的RDP会话，通常会有“Password”栏，里面显示的类似 `aad3b435b51404eeaad3b435b51404ee:xxx` 这样的字符串，这是LM/NTLM哈希。你需要复制这个哈希值。 2. 然后用哈希破解工具（比如John the Ripper、hashcat或ophcrack）配合字典来破解。以hashcat为例，可以把哈希保存成文本文件，用 `hashcat -m 1000 hash.txt password.lst` 这样的命令跑一下（模式1000对应NTLM）。如果你的密码是简单的“123”，用常用字典很快就能跑出来。 3. 如果想在cain里直接看到破解结果，可以开启cain的“破解器”功能，但通常不如单独用hashcat高效。另外注意cain在嗅探RDP时也需要正确配置过滤规则，确保捕获到完整的认证包。 简单来说，cain没有“转换”出明文，而是拿到了哈希，你需要用第三方工具把哈希解成明文。如果你是新手