嗅探、劫持 3389 端口、远程桌面、rdp 协议的一些经验技巧总结

不少人对嗅探3389（远程桌面rdp协议）这一块，仍是似懂非懂的，我就写了个总结文章，整理一下各类嗅探、劫持3389的方法，以及一些技巧经验大全，大杂烩，我尽可能写得思路清晰一点，容易理解。

---

利用 Arp 欺骗、劫持、嗅探的方法：

一、直接使用 CAIN 工具嗅探，而后分析嗅探到的数据包，分析方法见底下。

二、先看那机器的终端是谁连过去的，而后架 rdp proxy，而后 arp 欺骗，最后从 rdp proxy 的嗅探记录里，直接拿到登录明文。

三、钓鱼***，使用 Arp 劫持，欺骗本机为目标机器，而后在本机安装本地密码记录软件，例如：WinlogonHack、WinPswLogger 等工具（注意：这些工具都要修改，改为即便是错误密码也要记录，否则你什么都记录不到！），而后坐等管理员链接，获得密码后恢复 Arp 劫持。

四、Arp 劫持 + 中间人转发数据的嗅探的方法，详细描述见底下。 

从 CAIN 嗅探到的 RDP 数据包中，如何获得帐号、密码的方法：

你认真看看 CAIN 的数据包，若是是在远程桌面链接工具（mstsc.exe）本地保存密码登陆的，那么就直接有明文。

若是不是本地保存登陆的，是链接后才输入帐号密码的，那么嗅探到的 RDP 数据包里面就有一段是专门解密的，每行一个字母，你认真找找，格式大概是这样的：

…… 省略 ……Key pressed client-side: 0x2c - 'z'…… 省略 ……Key pressed client-side: 0x23 - 'h'…… 省略 ……Key pressed client-side: 0x12 - 'a'…… 省略 ……Key released client-side: 0x31 - 'n'…… 省略 ……Key pressed client-side: 0x22 - 'g'…… 省略 ……Key pressed client-side: 0x20 - 'h'…… 省略 ……Key pressed client-side: 0x17 - 'a'…… 省略 ……Key pressed client-side: 0x31 - 'o'…… 省略 ……//字符串为：zhanghao

搜索 Key pressed、Key released 能够获得，是一个个的字母的列出来的，这里就是用户链接成功后所输入的按键信息，组合一下，就能够得出帐号密码。

这里要注意一下特殊字符，例如回车、空格、退格等，还有左、右方向键，这是切换输入框光标位置用的，不注意的话，出来的密码顺序是错误的。

同时告诉你们一个防止嗅探、密码记录的小技巧，你能够先输后半段，而后使用鼠标将输入框的光标切换到最前边（为何不能用方向键切换光标？由于是能够从数据包中获得方向键按键记录的），而后再输入前半段，这样***者最终组合出来的密码顺序是错误的。

这招能够对付全部按键记录类软件，固然，你能够再发挥下，使用更复杂的输入顺序。

解开 rdp 数据包工具：

有个工具叫 RDP Parser，能够解开嗅探或截取到的 RDP 数据包文件，而后提取一些按键信息，用来最终拼接出用户名和密码。

Arp 劫持 + 中间人转发数据的嗅探的方法：

这个方法很早了，大概在2010年08月23日左右，有人在他博客发出来（原文章如今已删除了，删除缘由见最底下，Google 能找到转载的），地址为：http://hi.baidu.com/0x24/blog/item/641268fc6261888fb901a0dd.html

过了一年半载后，又有人在t00ls论坛发过，具体就不写了，内容大体同样，以下所述。

历时半个月的空闲时间，一个与 CAIN APR RDP 功能相拟的嗅探器工具终于在这个周未完成。

值得一提是CAIN要在双向欺骗下才能嗅到RDP，若是服务端绑定网送，那么也只能嗅到链接，而不能嗅到数据，更别提密码等之类。

hijackport + rdpproxy 能够作到单向欺骗获取RDP数据包并解密还原。

关于 sniffer rdp，比 cain arp rdp 更强大的组合 hijackport + rdpproxy，Me 在附件中演示了两种获取密码方法。

一、钓鱼 (有点二)

二、单向模式 sniffer rdp 比起 cain arp rdp 更强 （cain arp rdp 要取得密码等信息必需双向模式. hijackport + rdpproxy 能够突破对方在绑定的状况下得到密码或对方所输入的全部键盘消息）

具体演示，请到个人网盘下载：hijackportrdpproxy.rar，网盘地址：http://9780399.ys168.com/

其余另类 Arp 方法：

转自：http://hi.baidu.com/0x24/blog/item/0dccbd4c64454ce7d72afcfa.html

时间：2011-12-31 21:09

这个另类,是思路另类一点,走的路不一样.

这个直播比1还要早.原理更简单.

原理:

A.中间人

B.目标

C.客户端

注:

由于环境有点点特殊.在这说明一下.过程当中..是取不取对方的MAC.只能取得网关MAC.

但也没有关系.为了测试环境达不达要求. 向网关发送了一条ARP.B.目标挂掉.整个恢复过程20分钟

由此判断网关没有绑定.是能够ARP.但一条ARP能够导至目标挂掉20分钟.这也说明网关的ARP表刷新的速度是每20分种一次.如何在没有目标MAC就意味着.经过中间人去进行数据转发.因此作了一个很大胆的测试.

1.每隔20分钟发送一次ARP欺骗.

2.模拟ICMP使其能ping通目标.

3.模拟TCP三次握手.伪造http反回一个黑页假象.

4.C --> B.3389 转为 C --> A.3389 记录密码

5.若是成功取得密码.中止端口转向.中止模拟.中止arp发送.等待网关刷新arp缓存.这时双方都不能登陆.直到网关刷新.在这个漫长的等待中.ping 目标IP -T 抢在管理上线.

6.接下来就是拼人品.

整个直播记录.花费21分钟左右.成功获取 hack58 权限，下载地址：http://9780399.ys168.com/

相关工具介绍：

一、rdpproxy：Rdp Proxy 一个转发rdp协议数据包的软件，用于转发3389的数据，而后截取，你懂的……

二、hijackport：Hijack Port 劫持端口用的，通常和 Rdp Proxy 配套使用。

三、Cain：著名的综合***工具，你们都懂，就不解释了……

四、RDP Parser：能够解开嗅探或截取到的 RDP 数据包文件，而后提取一些按键信息，用来最终拼接出用户名和密码。

关于做者删除那篇文章，做者说是：

http://hi.baidu.com/0x24/blog/item/af60ae233af96e4092580795.html

2010-09-08 8:30：原本想公开 hijackport + rdpproxy 的，但我有所改变，我很绕幸的是以前得得过它的人，由于有两个很大的bug，使之在不少实践环境下无效..呵呵.......................最后删贴删贴......

（PS：对这货不想说啥了，一技术含量不高的软件，还当个宝似的，还假惺惺的不公开，改天也写一个。）