内网渗透：Wireshark 抓取嗅探3389 端口和HTTP 登录密码

---

当你的才华

还撑不起你的野心时

那你就应该静下心来学习

---

目录

Wireshark 抓取嗅探3389 端口和HTTP 登录密码

0x01 什么是Wireshark

0x02 主要应用

0x03 特性

0x04 Wireshark不能做的事

0x05 拓展知识

---

 

Wireshark 抓取嗅探3389 端口和HTTP 登录密码

前言

0x01 什么是Wireshark

      • Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

      • 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电量的电度表一样。（当然比那个更高级）过去的此类工具要么是过于昂贵，要么是属于某人私有，或者是二者兼顾。 Wireshark出现以后，这种现状得以改变。

      • Wireshark可能算得上是今天能使用的最好的开元网络分析软件。

0x02 主要应用

下面是Wireshark一些应用的例子

      • 网络管理员用来解决网络问题
      • 网络安全工程师用来检测安全隐患
      • 开发人员用来测试协议执行情况
      • 用来学习网络协议
      • 除了上面提到的，Wireshark还可以用在其它许多场合。

0x03 特性

1）支持UNIX和Windows平台
      • 在接口实时捕捉包
      • 能详细显示包的详细协议信息
      • 可以打开/保存捕捉的包
      • 可以导入导出其他捕捉程序支持的包数据格式
      • 可以通过多种方式过滤包
      • 多种方式查找包
      • 通过过滤以多种色彩显示包
      • 创建多种统计分析
      • …还有超多，在此省略
 

2）Wireshark捕捉包并允许您检视其内

3）捕捉多种网络接口

      Wireshark 可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。想了解支持的所有网络接口类型，去传送地址：http://wiki.wireshark.org/CaptureSetup/NetworkMedia.

4）支持多种其它程序捕捉的文件

      Wireshark可以打开多种网络分析软件捕捉的包，

5）支持多格式输出

      Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式，

6）对多种协议解码提供支持

      可以支持许多协议的解码(在Wireshark中可能被称为解剖)

7）开源软件

      Wireshark是开源软件项目，用GPL协议发行。您可以免费在 任意数量的机器上使用它，不用担心授权和付费问题，所有的源代码在GPL框架下都可以免费使用。因为以上原因，人们可以很容易在Wireshark上添加新的协议，或者将其作为插件整合到您的程序里，这种应用十分广泛。

0x04 Wireshark不能做的事

      Wireshark不是入侵检测系统。如果他（她）在您的网络做了一些他/她们不被允许的奇怪的事情，Wireshark不会警告您。但是如果发生了奇怪的事情，Wireshark可能对察看发生了什么会有所帮助。 
Wireshark不会处理网络事务，它仅仅是“测量”(监视)网络。Wireshark不会发送网络包或做其它交互性的事情（名称解析除外，但您也可以禁止解析）。
 

接下来就是我们本篇要说的内容，Wireshark 嗅探3389 端口和HTTP 登录密码，直接看实例好了，走你...

1. 首先下载 Wireshark

      Wireshark下载传送门地址：https://www.wireshark.org/download.html

2. 获得IP

      Wireshark要在几千条数据中找到你要的那个网站，需要过滤ip，所以我们先查看该网站的ip，比如，博主待会儿查看baidu的账号和密码。首先要知道baidu.com的ip，如何知道呢？很容易，在cmd里ping一下，便得知ip。

3. 启动Wireshark，连接网络，填过滤器

      启动Wireshark，勾选所在的网络，然后我们就能收到源源不断的包,然后点暂停，填写过滤器，并点击右边的Apply(应用）,然后重新开始捕获，像这样，页面就干净很多，准备抓包了。

     过滤器命令

http and ip.addr==你的ip

4. 登陆后台，抓取登录数据包，我们返回查看Wireshark界面，可以看到有一条POST方式的登录的数据包

5. 查看数据包

      单击打开这条数据包,可以看到下图内容

      打开最后一行数据，账号和密码就在里面，可能找起来会比较麻烦一点

      成功在网络上抓到自己的登录账号和密码，可以看到我们刚刚登陆的数据包中的账号和密码一览无余。

 

0x05 拓展知识

      Wireshark抓包中使用ip.addr过滤本机与同局域网内的机器间的通信，同时正在远程桌面连接这台机器，过滤结果中就会有很多相同类型的多余数据包。多余的数据包有tcp协议，也有TPKT协议，这些包有一个相同点都使用3389端口。所以可以使用以下wireshark显示过滤语句净化结果

Wireshark排除远程桌面数据包

ip.addr==192.168.1.63&&!(tcp.port==3389)

     windows远程桌面使用的是tcp的3389端口，以上过滤条件即是过滤ip地址同时排除经过tcp 3389端口的数据包。

根据端口过滤：

ip.src==192.168.0.2 and ip.dst==192.168.0.233 and tcp.port==965

根据包长过滤：

ip.src==192.168.0.2 and ip.dst==192.168.0.233 and tcp.len==12

参考链接：

                https://www.jianshu.com/p/b2cd3962e695

                https://liuyanzhao.com/2637.html

                https://blog.csdn.net/Fly_hps/article/details/79780088

 

---

我不需要自由，只想背着她的梦

一步步向前走，她给的永远不重

---