用户
搜索
  • TA的每日心情
    开心
    昨天 07:40
  • 签到天数: 66 天

    连续签到: 66 天

    [LV.6]常住居民II

    i春秋-见习白帽

    Rank: 3Rank: 3

    36

    主题

    79

    帖子

    1704

    魔法币
    收听
    0
    粉丝
    4
    注册时间
    2020-10-2
    发表于 2021-4-10 14:59:11 514231
    本帖最后由 Johnson666 于 2021-4-10 15:12 编辑

    写在前面:
    这里分别用wireshark和tcpdump来抓包,具体使用在其它两篇文章里有讲述("tcpdump抓包工具"、"Wireshark抓包工具")。

    底下有涉及到telnet命令,如果Windows中提示:telnet不是内部或外部命令,怎么办?这里主要说下Windows下该怎么解决

    开始 → 控制面板 → 程序和功能 → 启用或关闭Windows功能,在这里就可以看到telnet服务器和telnet客服端,"Telnet Client"打勾,然后就可以使用telnet命令了

    QQ图片20210410144809.png

    telnet 服务器在Windows 10已经找不到了,因为是为功能删除或弃用。实在想要的话可以自己去网上下载。

    wireshark:
    1、开启Wireshark,并监听本地网卡;

    2、远程登录 route-server.ip.att.net服务器(rviews/rviews)
    用telnet远程登录 route-server.ip.att.net服务器(rviews/rviews),命令为telnet route-server.ip.att.net
    1.png

    2.png
    用wireshark抓到telnet的包

    3.png

    在上面的筛选栏输入telnet,筛选出telnet的包,然后找到其中数据长度最大的包,右键点击追踪流的“TCP流”

    5.png

    6.png

    查看到我登录的用户名和密码了
    注意这里的“login”中的登录用户名每个字符都会重复一次,这是为什么呢?这里就要说到telnet的工作模式了。
    telnet工作模式有四种:
    1) 半双工:客户端在接收用户输入之前,必须从服务器进程获得GO AHEAD (G A)命令. 现在已很少使用

    2)一次一个字符:客户端把用户输入的每个字符都单独发送给服务器,服务器回显字符给客户端. 是目前大多数Telnet程序的默认方式. SUPPRESS GO AHEAD选项和ECHO选项必须同时有效

    3) 准行方式(kludge line mode): 用户每键入一行信息,客户端向服务器发送一次. 当上面两个选项其中之一无效时采用此模式

    4) 行方式:类似准行方式,纠正了准行方式的缺点。较新的Telnet程序支持这种方式

    而这里的telnet的工作模式是一次一个字符,客户端把用户输入的每个字符都单独发送给服务器,服务器再回显字符给客户端,所以就来回一次。而"Password"只有一次是因为规定就是这样,毕竟是密码,服务器就不会再返回一次了。
    3、用浏览器访问站点www.4399.com进行登陆

    这是童年的回忆,上号,冲!
    我用户名和密码都输入123

    4.png

    用wireshark抓http的包。在上面的筛选栏输入http,筛选出http的包

    8.png

    在上面的筛选栏输入http.request.method=='POST',找请求方式为POST的请求包,因为这里4399登录时输入的用户名和密码是以POST的方式发给服务器的。成功找到输入的用户名和密码,密码是加密的方式

    7.png

    tcpdump:

    1、开启tcpdump,并监听本地网卡

    2、远程登录 route-server.ip.att.net服务器(rviews/rviews
    用telnet远程登录 route-server.ip.att.net服务器(rviews/rviews),命令为telnet route-server.ip.att.net

    用tcpdump抓telnet的包

    9.png

    找到telnet登录的用户名和密码    命令:tcpdump -i eth0 -nn -X

    10.png

    3、用浏览器访问站点www.4399.com进行登陆

    我依然是用户名和密码都输入123


    用tcpdump抓http的包
    命令:tcp -i eth0 -vv port 80

    QQ图片20210410143142.png

    找到4399用户名和密码 命令:tcpdump-i eth0 -nn -X “port 80”
    QQ图片20210410143147.png
    总结:

    讲道理,我还是觉得wireshark用的舒服,毕竟是图形化界面的工具。tcpdump命令行,有一说一用的比较难受,而且我个人感觉wireshark更加强大,可能是我还不会用tcpdump,没有发现它的强大之处吧~不过tcpdump抓完的包也可以导出,使用"-I"参数就行了(具体用法可以看我另外一篇的文章"tcpdump抓包工具"),然后用wireshark点击左上角的"文件"中的"打开"来打开来看,但是总感觉多此一举了。
    发表于 2021-4-12 10:35:21
    感谢分享~
    使用道具 举报 回复
    发表于 2021-4-12 13:30:23
    Johnson出品必属精品
    使用道具 举报 回复
    发表于 2021-4-12 13:30:29

    Johnson出品必属精品
    使用道具 举报 回复
    发表于 2021-4-12 13:30:33

    Johnson出品必属精品
    使用道具 举报 回复
    发表于 2021-4-18 13:38:24
    小技巧+1
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册