嗅探、劫持 3389 端口、遠程桌面、rdp 協議的一些經驗技巧總結

不少人對嗅探3389（遠程桌面rdp協議）這一塊，仍是似懂非懂的，我就寫了個總結文章，整理一下各類嗅探、劫持3389的方法，以及一些技巧經驗大全，大雜燴，我儘可能寫得思路清晰一點，容易理解。

---

利用 Arp 欺騙、劫持、嗅探的方法：

一、直接使用 CAIN 工具嗅探，而後分析嗅探到的數據包，分析方法見底下。

二、先看那機器的終端是誰連過去的，而後架 rdp proxy，而後 arp 欺騙，最後從 rdp proxy 的嗅探記錄裏，直接拿到登錄明文。

三、釣魚***，使用 Arp 劫持，欺騙本機爲目標機器，而後在本機安裝本地密碼記錄軟件，例如：WinlogonHack、WinPswLogger 等工具（注意：這些工具都要修改，改爲即便是錯誤密碼也要記錄，否則你什麼都記錄不到！），而後坐等管理員鏈接，獲得密碼後恢復 Arp 劫持。

四、Arp 劫持 + 中間人轉發數據的嗅探的方法，詳細描述見底下。 

從 CAIN 嗅探到的 RDP 數據包中，如何獲得帳號、密碼的方法：

你認真看看 CAIN 的數據包，若是是在遠程桌面鏈接工具（mstsc.exe）本地保存密碼登陸的，那麼就直接有明文。

若是不是本地保存登陸的，是鏈接後才輸入帳號密碼的，那麼嗅探到的 RDP 數據包裏面就有一段是專門解密的，每行一個字母，你認真找找，格式大概是這樣的：

…… 省略 ……Key pressed client-side: 0x2c - 'z'…… 省略 ……Key pressed client-side: 0x23 - 'h'…… 省略 ……Key pressed client-side: 0x12 - 'a'…… 省略 ……Key released client-side: 0x31 - 'n'…… 省略 ……Key pressed client-side: 0x22 - 'g'…… 省略 ……Key pressed client-side: 0x20 - 'h'…… 省略 ……Key pressed client-side: 0x17 - 'a'…… 省略 ……Key pressed client-side: 0x31 - 'o'…… 省略 ……//字符串爲：zhanghao

搜索 Key pressed、Key released 能夠獲得，是一個個的字母的列出來的，這裏就是用戶鏈接成功後所輸入的按鍵信息，組合一下，就能夠得出帳號密碼。

這裏要注意一下特殊字符，例如回車、空格、退格等，還有左、右方向鍵，這是切換輸入框光標位置用的，不注意的話，出來的密碼順序是錯誤的。

同時告訴你們一個防止嗅探、密碼記錄的小技巧，你能夠先輸後半段，而後使用鼠標將輸入框的光標切換到最前邊（爲何不能用方向鍵切換光標？由於是能夠從數據包中獲得方向鍵按鍵記錄的），而後再輸入前半段，這樣***者最終組合出來的密碼順序是錯誤的。

這招能夠對付全部按鍵記錄類軟件，固然，你能夠再發揮下，使用更復雜的輸入順序。

解開 rdp 數據包工具：

有個工具叫 RDP Parser，能夠解開嗅探或截取到的 RDP 數據包文件，而後提取一些按鍵信息，用來最終拼接出用戶名和密碼。

Arp 劫持 + 中間人轉發數據的嗅探的方法：

這個方法很早了，大概在2010年08月23日左右，有人在他博客發出來（原文章如今已刪除了，刪除緣由見最底下，Google 能找到轉載的），地址爲：http://hi.baidu.com/0x24/blog/item/641268fc6261888fb901a0dd.html

過了一年半載後，又有人在t00ls論壇發過，具體就不寫了，內容大體同樣，以下所述。

歷時半個月的空閒時間，一個與 CAIN APR RDP 功能相擬的嗅探器工具終於在這個周未完成。

值得一提是CAIN要在雙向欺騙下才能嗅到RDP，若是服務端綁定網送，那麼也只能嗅到鏈接，而不能嗅到數據，更別提密碼等之類。

hijackport + rdpproxy 能夠作到單向欺騙獲取RDP數據包並解密還原。

關於 sniffer rdp，比 cain arp rdp 更強大的組合 hijackport + rdpproxy，Me 在附件中演示了兩種獲取密碼方法。

一、釣魚 (有點二)

二、單向模式 sniffer rdp 比起 cain arp rdp 更強 （cain arp rdp 要取得密碼等信息必需雙向模式. hijackport + rdpproxy 能夠突破對方在綁定的狀況下得到密碼或對方所輸入的全部鍵盤消息）

具體演示，請到個人網盤下載：hijackportrdpproxy.rar，網盤地址：http://9780399.ys168.com/

其餘另類 Arp 方法：

轉自：http://hi.baidu.com/0x24/blog/item/0dccbd4c64454ce7d72afcfa.html

時間：2011-12-31 21:09

這個另類,是思路另類一點,走的路不一樣.

這個直播比1還要早.原理更簡單.

原理:

A.中間人

B.目標

C.客戶端

注:

由於環境有點點特殊.在這說明一下.過程當中..是取不取對方的MAC.只能取得網關MAC.

但也沒有關係.爲了測試環境達不達要求. 向網關發送了一條ARP.B.目標掛掉.整個恢復過程20分鐘

由此判斷網關沒有綁定.是能夠ARP.但一條ARP能夠導至目標掛掉20分鐘.這也說明網關的ARP表刷新的速度是每20分種一次.如何在沒有目標MAC就意味着.經過中間人去進行數據轉發.因此作了一個很大膽的測試.

1.每隔20分鐘發送一次ARP欺騙.

2.模擬ICMP使其能ping通目標.

3.模擬TCP三次握手.僞造http反回一個黑頁假象.

4.C --> B.3389 轉爲 C --> A.3389 記錄密碼

5.若是成功取得密碼.中止端口轉向.中止模擬.中止arp發送.等待網關刷新arp緩存.這時雙方都不能登陸.直到網關刷新.在這個漫長的等待中.ping 目標IP -T 搶在管理上線.

6.接下來就是拼人品.

整個直播記錄.花費21分鐘左右.成功獲取 hack58 權限，下載地址：http://9780399.ys168.com/

相關工具介紹：

一、rdpproxy：Rdp Proxy 一個轉發rdp協議數據包的軟件，用於轉發3389的數據，而後截取，你懂的……

二、hijackport：Hijack Port 劫持端口用的，通常和 Rdp Proxy 配套使用。

三、Cain：著名的綜合***工具，你們都懂，就不解釋了……

四、RDP Parser：能夠解開嗅探或截取到的 RDP 數據包文件，而後提取一些按鍵信息，用來最終拼接出用戶名和密碼。

關於做者刪除那篇文章，做者說是：

http://hi.baidu.com/0x24/blog/item/af60ae233af96e4092580795.html

2010-09-08 8:30：原本想公開 hijackport + rdpproxy 的，但我有所改變，我很繞幸的是以前得得過它的人，由於有兩個很大的bug，使之在不少實踐環境下無效..呵呵.......................最後刪貼刪貼......

（PS：對這貨不想說啥了，一技術含量不高的軟件，還當個寶似的，還假惺惺的不公開，改天也寫一個。）