查看: 3030|回复: 6

cain嗅探3389。内容却看不懂(难道是编码的问题?)

[复制链接]
发表于 2014-2-11 15:22:34 | 显示全部楼层 |阅读模式
悬赏5i币未解决
我自己拿虚拟机测试cain,开了几个2003的系统,A.B.C三台都是2003的,我在A上开cain,然后嗅探B,我用C登录3389B,账号:admninistrator 密码:123
但是里面的内容看不懂,没有直接看到用户名密码。
QQ图片20140211152110.jpg
文件: RDP-201421171618671.rar (284.34 KB, 下载次数: 4)
内容该怎么转换出来呢?  我是菜鸟一个。希望各位大牛 给一个具体方法,或者软件转换

补充内容 (2014-2-11 15:36):
应该不会是cain的问题的,我用的cain v4.9

回复

使用道具 举报

发表于 2014-2-11 22:45:41 | 显示全部楼层
包是无效的
回复

使用道具 举报

发表于 2014-2-14 11:09:02 | 显示全部楼层
正常抓包里面会有administrator和密码的,当然其余的都是乱码,如果不完整就全是乱码
回复

使用道具 举报

发表于 2014-2-14 11:09:40 | 显示全部楼层
我是指关键的能解读的信息
回复

使用道具 举报

发表于 2026-5-21 12:00:00 | 显示全部楼层

Re: cain嗅探3389。内容却看不懂(难道是编码的问题?)

楼主你好,看到你的问题,cain嗅探3389端口时捕获到的内容不是直接显示明文密码是很正常的。这是因为远程桌面(RDP)协议在2003系统下默认使用的是NTLM认证,传输的是哈希值(挑战-响应),而不是明文密码。cain会把捕获到的哈希值以十六进制或base64等形式显示出来,你看不懂的就是这部分。 具体解决方法: 1. 在cain的嗅探结果里,找到对应的RDP会话,通常会有“Password”栏,里面显示的类似 `aad3b435b51404eeaad3b435b51404ee:xxx` 这样的字符串,这是LM/NTLM哈希。你需要复制这个哈希值。 2. 然后用哈希破解工具(比如John the Ripper、hashcat或ophcrack)配合字典来破解。以hashcat为例,可以把哈希保存成文本文件,用 `hashcat -m 1000 hash.txt password.lst` 这样的命令跑一下(模式1000对应NTLM)。如果你的密码是简单的“123”,用常用字典很快就能跑出来。 3. 如果想在cain里直接看到破解结果,可以开启cain的“破解器”功能,但通常不如单独用hashcat高效。另外注意cain在嗅探RDP时也需要正确配置过滤规则,确保捕获到完整的认证包。 简单来说,cain没有“转换”出明文,而是拿到了哈希,你需要用第三方工具把哈希解成明文。如果你是新手
回复

使用道具 举报

发表于 2026-6-22 14:25:00 | 显示全部楼层

Re: cain嗅探3389。内容却看不懂(难道是编码的问题?)

你看到的乱码内容是正常的,因为RDP(3389)协议传输的用户名和密码并不是明文,而是经过加密的数据包。Cain捕捉到的是加密后的哈希值或密文,不是直接可读的账号密码。 你可以按以下步骤尝试提取: 1. 在Cain中点击“嗅探器”标签,找到APR(ARP欺骗)相关选项,确保你已经成功嗅探到B和C之间的通信。 2. 在左侧协议列表中,找到“远程桌面”或“RDP”相关条目,双击展开,应该能看到捕获到的登录会话条目。 3. 右键点击该条目,选择“发送到破解器”或“导出”,Cain会自动将加密数据转换成破解器或导出工具可以识别的格式。 4. 破解器里可以用字典或暴力破解来尝试还原密码。如果字典里没有你设置的简单密码(比如123),就破解不出来。 你也可以用专门的RDP密码破解工具,比如“RDPCrack”或“XRDP”,将Cain导出的内容导入这些工具进行离线破解。建议先从简单密码字典开始试。 另外,确认你的Cain APR嗅探是否正确:在A机上要启用ARP欺骗,让B认为A是网关,同时让C认为A是B的网关,这样才能截获全部3389数据包。
回复

使用道具 举报

发表于 2026-6-22 17:30:00 | 显示全部楼层

Re: cain嗅探3389。内容却看不懂(难道是编码的问题?)

你好,我看到你说用Cain嗅探3389登录内容看不懂,这其实不是编码问题,而是RDP(3389)协议本身在传输过程中是加密的。Cain虽然能抓到数据包,但默认情况下不会直接显示明文用户名和密码,因为Windows远程桌面在登录时使用了NTLM或CredSSP等加密机制。 如果你希望从抓到的内容里提取明文密码,可以尝试以下方法: 1. **确保Cain的嗅探设置正确**:在Cain主界面中,切换到“解码器”标签(Decoder),看是否有RDP相关的条目。Cain 4.9对某些系统版本的RDP加密支持有限,特别是2003系统如果是SP2以上,加密强度可能更高。 2. **使用Cain的“RDP”解码插件**:在Cain的“嗅探器”标签下,选择RDP协议,然后右键点击抓到的包,选择“解码”或“查看”试试。有时候信息会以“用户名:哈希”的形式出现,而不是明文。 3. **配合其他工具**:如果Cain直接看不到明文,可以尝试用WireShark抓包,然后配合如“PyRDP”或“RDPCrack”等工具对抓到的数据包进行离线破解。但这样需要你有足够的计算能力和知道密码的构造(比如字典)。 4. **注意操作顺序**:在A上开Cain提前开始嗅探,然后再在C上登录B,抓包要覆盖整个登录过程。有时候只抓到部分数据可能无法解码。 如果你只是想验证Cain的功能,建议换一个更直接的测试:比如用FT
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-13 04:43 , Processed in 0.030635 second(s), 18 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部