cain sniffer 使用教程恢复FTP密文

sniffer使用及图解sniffer软件的安装还是比较简单的，我们只需要按照常规安装方法进行即可。

需要说明的是:在选择sniffer pro的安装目录时，默认是安装在c:\program files\nai\snifferNT目录中，我们可以通过旁边的Browse按钮修改路径，不过为了更好的使用还是建议各位用默认路径进行安装。

在注册用户时，随便输入注册信息即可，不过EMAIL一定要符合规范，需要带“@”。

（如图1）注册诸多数据后我们就来到设置网络连接状况了，一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。

（如图2）接下来才是真正的复制sniffer pro必需文件到本地硬盘，完成所有操作后出现setup complete提示，我们点finish按钮完成安装工作。

由于我们在使用sniffer pro时需要将网卡的监听模式切换为混杂，所以不重新启动计算机是无法实现切换功能的，因此在安装的最后，软件会提示重新启动计算机，我们按照提示操作即可。

（如图3）重新启动计算机后我们可以通过sniffer pro来监测网络中的数据包。

我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。

第一步：默认情况下sniffer pro会自动选择你的网卡进行监听，不过如果不能自动选择或者本地计算机有多个网卡的话，就需要我们手工指定网卡了。

方法是通过软件的file菜单下的select settings来完成。

第二步：在settings窗口中我们选择准备监听的那块网卡，记得要把右下角的“LOG ON”前打上对勾才能生效，最后点“确定”按钮即可。

（如图4）第三步：选择完毕后我们就进入了网卡监听模式，这种模式下将监视本机网卡流量和错误数据包的情况。

首先我们能看到的是三个类似汽车仪表的图象，从左到右依次为“Utilization%网络使用率”，“Packets/s数据包传输率”，“Error/s错误数据情况”。

一、实验环境一个路由器（网关），三台以上安装了win2003操作系统的主机（虚拟机）（1）192.168.1.1 路由器（网关）（2）192.168.1.50 安装sniffer pro软件（3）192.168.1.30 开放telnet服务（3）192.168.1.10 宿主机二、实验总体思路192.168.1.10上telnet登录192.168.1.30,192.168.1.50对登录用户名和密码进行嗅探三、实验步骤1、收集局域网主机信息点地址簿（address table）弹出如下窗口点搜索按钮，在弹出的窗口中输入要搜索的IP地址段点ok按钮后会自动搜索在指定范围内存活的主机2、定义过滤器，捕获数据包点下拉菜单中的capture->define filter点profiles(配置文件)点“新建”（NEW），输入新配置文件名，这里输入TELNET点OK, 之后选择刚添加的“TELNET”，再选择“ADV ANCED”页，勾选IP协议->TCP 协议->TELNET点确定后返回主页面，会发现工具栏的下拉菜单中多了一个TELNET过滤器选项选中TELNET，之后点开始按钮就可以弹出专家窗口这时我们在192.168.1.10机器上打开cmd窗口，用telnet命令连接192.168.1.30链接后再看看sniffer pro界面这时我们会发现工具栏第四个带望远镜图标的按钮变红（有时会较慢）了，说明已经抓取了数据了然后我们点望远镜图标按钮结束抓取，并选择decode,显示抓取的数据包从图形上我们可以直接得到telnet的明文密码为123qwe当然用户名也可以同样得到，也是明文的抓取ftp帐号和密码的实验可以按照类似的操作步骤执行，只不过定义filter时要选择ftp协议。

勒索病毒恢复文件工具点击下载：比特币勒索病毒文件恢复补丁工具据了解，用户电脑被勒索病毒感染后，不到十秒，电脑里所有文件全被加密无法打开，大量重要资料难以追回，只有按弹窗提示交赎金才能解密。

腾讯电脑管家安全人员连夜技术攻关，上线勒索病毒文件恢复工具。

已中招的用户可按照以下流程操作，有一定几率恢复被锁文件。

1.下载/安装腾讯电脑管家文件恢复工具2.点击【恢复被删除的文件】并开始恢复3.选择要恢复的文件和目录所在的位置4.耐心等待扫描结果，整个过程受磁盘大小影响5.选择想要恢复的文件小技巧：●系统默认桌面文件夹的位置：C:\Users\Administrator(你电脑用户名)\Desktop;●恢复的文件，文件名可能会发生改变，没有找到想要的文件不一定是没有恢复哦!●请尽量将恢复的文件放到新的磁盘中以提高成功率，例：被删除的文件在C盘，请将恢复的文件灰度到D盘，防止文件覆盖。

6.恢复完成对于被病毒加密的文件，腾讯电脑管家安全人员提醒，恢复成功率受到文件数量、大小、及恢复时间等多个因素影响，越早恢复成功率越高。

此外，未感染的用户，可使用腾讯电脑管家的勒索病毒免疫工具，关闭漏洞端口并安装系统补丁，一键修复漏洞。

同时开启腾讯电脑管家主动防御系统，启用文档守护者功能，预防勒索病毒的变种攻击。

1、为计算机安装最新的安全补丁，微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快安装此安全补丁，网址为点击进入对于windowsXP、2003等微软已不再提供安全更新的机器，可使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。

2、关闭445、135、137、138、139端口，关闭网络共享。

3、强化网络安全意识：不明链接不要点击，不明文件不要下载，不明邮件不要打开……4、尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘、U盘，备份完后脱机保存该磁盘。

CAIN使用教程五月 11, 2011CAIN是一个WINDOWS平台上的破解各种密码，嗅探各种数据信息，实现各种中间人攻击的软件。

首先下载cain软件CAIN下有两个程序，一个是CAIN主程序，一个是Abel服务程序。

Abel服务程序需要手动进行安装。

正确安装CAIN后从CAIN目录下拷贝和到C:\Windows\System32目录下，运行安装，并在服务里设置为自动启动。

运行CAIN，主界面如图所示我们先来看看CAIN的几个大类的使用，大类页面如下图一．解密器：解密器的作用主要是读取缓存中保存的各种密码。

你可以点击左边的各选项然后点击上面的你就可以在右边的窗口看到保存在缓存中的密码。

我的电脑中我都看到了我MSN 的账号和密码，曾经登陆路由的账号和密码，邮箱的密码。

举例：点击左边的无线网络口令，再点击上面的在右边的窗口你可以看到你曾经正确使用过的无线的密码都保存在这里，如下图所示。

大家可以清楚的看到SSID和后面的密码。

二．网络这个网络主要用来鉴别各域控制器，SQLserver，打印服务，远程拨入，终端服务等。

网络的左侧用来浏览网络结构和连接远程主机。

连接到主机就可列出用户名，工作者，服务，共享资源等。

如下图，我们清楚的看到SMM-DB1开启了IPC$默认共享连接和文件夹共享。

同时也可以搜索到计算机的用户组和组的用户名，虽然NT版本以后不能建立空连接了，但是还是可以通过提取SID来获得Admin的账号，因为管理员的SID总是500。

如下图所示三．嗅探器（包含局域网的嗅探和ARP欺骗）嗅探器是CAIN的重点，很多人用CAIN主要就是用这个嗅探器和ARP欺骗。

CAIN 中的嗅探器，主要嗅探局域网内的有用信息，比如各类密码等。

CAIN中的ARP的欺骗，原理是操纵两台主机的ARP缓存表，以改变它们之间的正常通信方向，这种通信注入的结果就是ARP欺骗攻击，利用ARP欺骗可以获得明文的信息。

1．程序配置首先点击菜单的配置按钮出现下图所示的配置菜单首先选择用于嗅探的以太网卡（可以是有线网卡也可以是无线网卡），本文中将选择第二个无线网卡。

使用Sniffer工具分析以太网帧和IP数据报一、实验目的通过使用Sniffer Pro软件掌握Sniffer(嗅探器)工具的使用方法，实现捕捉FTP、HTTP等协议的数据包，以理解TCP／IP协议中多种协议的数据结构。

二、实验原理Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障。

Sniffer 主要用于网络管理和网络维护，系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题，包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等，它将提供非常详细的信息。

通常每个网络接口都有一个互不相同的硬件地址(MAC地址)，同时，每个网段有一个在此网段中广播数据包的广播地址(代表所有的接口地址)。

一般情况下，一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，并由操作系统进一步进行处理，同时丢弃不是发给自己的数据帧。

通过Sniffer工具，可以将网络接口设置为“混杂”(promiscuous)模式。

在这种模式下，网络接口就处于一个对网络进行“监听”的状态，它可以监听此网络中传输的所有数据帧-而不管数据帧的目标地址是广播地址还是自己或者其它网络接口的地址了。

它将对遭遇的每一个数据帧产生硬件中断．交由操作系统对这个帧进行处理，比如截获这个数据帧，进而实现实时分析数据帧中包含的内容。

当然，如果一个数据帧没有发送到目标主机的网络接口，则目标主机将无法监听到该帧。

所以Sniffer所能监听到的信息将仅限于在同一个物理网络内传送的数据帧．就是说和监听的目标中间不能有路由(交换)或其它屏蔽广播包的设备。

因此。

当Sniffer 工作在由集线器(hub)构建的广播型局域网时，它可以监听到此物理网络内所有传送的数据；而对于由交换机(switch)和路由器(router)构建的网络中，由于这些网络设备只根据目标地址分发数据帧，所以在这种网络中，Sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。

由cain 使用详细教程一个针对Microsoft操作系统的免费口令恢复工具。

号称穷人使用的L0pht crack。

它的功能十分强欺骗，破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议，甚至还可P拨打电话。

务程序，一般不会用到，我们重点来介绍Cain的使用。

先我们需要安装Winpcap驱动，就可以安装成功了以使用Cain了，让我们打开传说中的Cain，界面十分简单明了，可就不简单了。

密码：切换到“受保护的缓存口令”标签，点上面的那个加号密码全都显示出来了。

状况标签，可以清楚的看到当前网络的结构，我还看到内网其他的机器的共享目录，用户和服务，通过m-DB1开启了IPC$默认共享连接和其他盘隐藏共享。

与嗅探理是操纵两台主机的ARP缓存表，以改变它们之间的正常通信方向，这种通信注入的结果就是AR 探是Cain我们用的最多的功能了，切换到“嗅探”标签晰的看到内网中各个机器的IP和MAC地址。

Cain进行配置，先点最单击最上面的“配置”/]嗅探[/url]器”中选择要[url=/]嗅探[/url]的网卡，在“ARP(Arp 以伪造IP地址和MAC地址进行欺骗，避免被网管发现。

中可以设置过滤器，的需要选择过滤的端口，如[url=/]嗅探[/url]远程桌面密码的话，就钩选RDP 我要[url=/]嗅探[/url]上面的61.132.223.10机器，第二个网卡显示我的ip地，和目标机器是同一内网的，就使用第二个的网卡欺骗。

个标志开始[url=/]嗅探[/url]，旁边的放射性标志则是ARP欺骗。

/]嗅探[/url]了N久之后，点击下面的“截获密码”，嗅探所得到的密码会按分类呈现在、VNC、SMTP、ICQ等密码。

如果目标主机使用voip电话的话，还可以获得他使用voip电话的行Arp欺骗，点击下面的“ARP”标签，处单击，然后点上面的“加号”，出现“新建ARP欺骗”对话框，在左边选网关，右边选择被欺骗的IP 是，你的机器性能比网关差的话，会引起被欺骗机器变慢。

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.中国无线论坛中卫出品CAIN使用教程声明：任何不经别人同意而进入别人网络都是非法和不道德的行为。

本教程用于学习和交流，如由此产生一切违法行为与本教程无关。

CAIN使用教程CAIN是一个WINDOWS平台上的破解各种密码，嗅探各种数据信息，实现各种中间人攻击的软件。

首先下载cain软件找不到下载地址的可到我们共享区下载，共享区有4.9英文版和汉化补丁。

CAIN下有两个程序，一个是CAIN主程序，一个是Abel服务程序。

Abel服务程序需要手动进行安装。

正确安装CAIN后从CAIN目录下拷贝Abel.exe和Abel.dll 到C:\Windows\System32目录下，运行Abel.exe安装，并在服务里设置为自动启动。

运行CAIN，主界面如图所示我们先来看看CAIN的几个大的使用，大页面如下图一．解密器：解密器的作用主要是读取缓存中保存的各种密码。

你可以点击左边的各选项然后点击上面的你就可以在右边的窗口看到保存在缓存中的密码。

我的电脑中我都看到了我MSN的账号和密码，曾经登陆路由的账号和密码，邮箱的密码。

举例：点击左边的无线网络口令，再点击上面的在右边的窗口你可以看到你曾经正确使用过的无线的密码都保存在这里，如下图所示。

大家可以清楚的看到SSID和后面的密码。

二．网络这个网络主要用来鉴别各域控制器，SQLserver，打印服务，远程拨入，终端服务等。

网络的左侧用来浏览网络结构和连接远程主机。

连接到主机就可列出用户名，工作者，服务，共享资源等。

如下图，我们清楚的看到SMM-DB1开启了IPC$默认共享连接和文件夹共享。

同时也可以搜索到计算机的用户组和组的用户名，虽然NT版本以后不能建空连接了，但是还是可以通过提取SID来获得Admin的账号，因为管理员的SID总是500。

如下图所示三．嗅探器（包含局域网的嗅探和ARP欺骗）嗅探器是CAIN的重点，很多人用CAIN主要就是用这个嗅探器和ARP欺骗。

教你快速设置Sniffer抓取FTP用户名和密码的过滤规则
1.启动Sniffer，新建一个过滤器，名为catch-ftp-user-pass，使用默认设置(即什么都不过滤)
2.按下F10开始抓包(或单击下面的开始按钮)
3.登陆FTP服务器(我用的是学校的内部FTP服务器)
4.按下F9停止并显示抓包情况(或单击下面的按钮)
解码数据包
5.选择但有USER字段的数据包(FTP传输数据是明文传输)，很容易就找到了。

然后编辑过滤规则。

“Add Pattern”
6.在弹出的对话框中找到包含FTP USER字段，单击“Set Data”按钮
7.从后面数用户名有多少位数，加上用户名前面的一个空格数，然后删除上面Data 面板相同位数的16进制数。

在这里我的用户名为””，共10位数，加上前面的空格就11位数，因此我就删除Data面板上从后面数起的11位16进制数。

8.同理设置密码的正则表达式，看图。

9.最终就添加了两个正则表达式，他们的关系是OR关系。

也就是说匹配其中一条，Sniffer都抓取数据。

10.重新启动Sniffer，开始抓包——登陆FTP，这次就只抓到FTP的用户名和密码。

只要这个过滤规则设置好了，以后就可以反复使用。

By.Joysin 2010.12.16。

实验二Sniffer Pro,lc4,Cain的使用一、实验目的熟悉经典网络安全工具软件的使用，熟悉sniffer pro,lc4,Cain等工具软件的相关操作。

二、实验工具两台相互连通且安装windows xp 系统的PC，由两人一组配合完成。

三、实验步骤1. 使用sniffer pro分析协议包和网络流量1、软件安装2、报文捕获与分析3、网络监视功能4、信息统计分析实验内容：1、软件的安装与注册演示并实践2、设置报文捕获条件3、网络监视功能、利用率、速率、错误率的使用方法4、使用matrix工具及其菜单5、网络采样分析，martix→history 的右键菜单6、保存捕获的数据7、统计信息量最多的机器和协议8、应用程序响应时间查看9、分析协议分布情况及其图形化显示10、使用专家分析工具，分析具体的数据包11、查找一定条件的数据包12、修改捕获到的数据包并重放2. LC4口令攻击与安全设置设置数字口令，然后用LC4攻击验证设置数字与字母混合口令，LC4攻击验证设置数字与字母、特殊字符混合口令，攻击验证L0phtCrack是商业软件，安装后不注册有功能限制。

(1)运行LC4，默认是运行LC4 Wizard，取消后并新建一个任务（New Session）。

(2)在进行密码破解之前，先进行破解模式及破解字典进行设置（Session--->Session Options）(3)设置完毕，可以开始导入本地SAM文件或其它文件（Session －>Import)进行破解，或通过嗅探器导入远程数据包进行破解（Session －>Import From Sniffer...)，后者需要安装WinPcap。

(4)一般导入本地SAM文件或其它文件（Session －>Import)进行破解，如果想破解本机其它用户的用户名及密码，直接选“Local machine”就可以，如果是破解网内其它其中机器的，选择“Remote machine”，选择机器即可。

Cain 使用手册译：淄博网警 SeeYou2007年2月14日Cain 是著名的 Windows 平台口令恢复工具。

它能通过网络嗅探很容易的恢复多种口令，能使用字典破解加密的口令，暴力口令破解，录音 VoIP（IP电话）谈话内容，解码编码化的口令，获取无线网络密钥，恢复缓存的口令，分析路由协议等。

下载：http://www.oxid.it/cain.htmlhttp://www.oxid.it/downloads/ca_setup.exe系统组成Cain & Abel 是两个程序。

Cain 是图形界面主程序；Abel 是后台服务程序，由两个文件组成：Abel.exe 和 Abel.dll。

l10MB 硬盘空间l Microsoft Windows 2000/XP/2003l Winpcap 包驱动（V2.3 或以上；4.0版本支持 AirPcap 网卡）l程序由以下文件组成：cain.exe 主程序CA_UserManual.chm 用户手册Abel.exe 名为 Abel 的可的 Windows 服务Abell.dll 程序支持文件Wordlist.txt 小型口令文件Instal.log 程序安装日志oui.txt MAC 地址厂商文件<安装目录>\winrtgen\winrtgen.exe 字典生成器<安装目录>\winrtgen\charset.txt 字符集文件<安装目录>\Driver\WinPcap_4_0_beta2.exe 原始 Winpcap 驱动程序Abel 是一个服务程序，由两个文件组成："Abel.exe" 和 "Abel.dll"，服务并不能自动安装到系统中。

可用 Cain 将 Abel 安装到本地或远程，但需要管理员权限。

l本地安装：1、复制"Abel.exe"和"Abel.dll"到系统安装目录%WINNT%(如C:\Windows)2、运行 Abel.exe 安装服务3、使用 Windows 服务管理器开始Abel服务l远程安装：1、使用Cain的网络表（Network TAB），选择远程主机2、右击计算机图标，选择连接3、提供远程主机的管理权认证4、连接成功后，右击其“服务”图标，选择菜单“安装Abel（Install Abel）”5、完成。

如何恢复被加密的文件和文件夹在日常使用电脑或移动设备的过程中，我们经常会遇到文件或文件夹被加密的情况，这可能导致我们无法访问重要的数据。

然而，不要担心，本文将为您介绍一些恢复被加密文件和文件夹的方法，帮助您重新获取数据。

一、检查恶意软件或病毒首先要确保文件和文件夹的加密不是由恶意软件或病毒引起的。

通过进行安全扫描和杀毒软件检查，排除恶意软件的可能性。

如果您的设备已经感染了病毒或恶意软件，先清除它们，然后尝试打开被加密的文件或文件夹。

二、使用恢复软件如果您确定文件和文件夹的加密不是由恶意软件引起的，您可以尝试使用一些专业的文件恢复软件来恢复被加密的数据。

以下是一些知名的恢复软件，您可以根据自己的需求选择合适的工具：1. EaseUS Data Recovery Wizard：该软件功能强大，支持恢复各类文件和文件夹，包括被加密的数据。

2. Recuva：这是一款免费的文件恢复软件，能够快速、可靠地恢复被删除或丢失的文件。

3. Stellar Data Recovery：该软件适用于不同操作系统，具有高恢复成功率，可以恢复各类文件和文件夹。

在使用这些软件时，您需要根据软件提供的指引来执行恢复操作。

通常情况下，您需要选择被加密的文件或文件夹的目录，并允许软件扫描并恢复数据。

请注意，成功恢复的机会取决于多种因素，如加密的强度和之前文件是否被覆盖。

三、尝试恢复旧版本大多数操作系统都提供了文件版本历史功能，可以恢复文件的旧版本。

如果您曾经为被加密的文件或文件夹启用了自动备份或文件历史功能，那么您可以尝试从历史版本中恢复数据。

在Windows操作系统中，您可以右键单击被加密的文件或文件夹，选择“还原以前的版本”或“属性”等选项，然后找到之前的版本并恢复。

在macOS中，您可以使用“时间机器”来查找和恢复旧版本的文件。

四、寻求专业帮助如果您尝试了上述方法仍无法恢复被加密的文件和文件夹，或者您对操作不够熟悉，那么您可以寻求专业数据恢复服务的帮助。

Sniffer巧解管理地址作为网络管理员经常要针对路由器，交换机，VPN接入等网络设备进行配置，忘记了设备管理地址的情况，也许你记得用户名和密码，但是要进行配置就必须访问管理界面，这个管理地址的丢失或遗忘却束手无策一，什么时候会忘记管理地址：忘记管理地址的情况多出现网络管理员交接工作时，老网管离职新网管接手，但是移交时只过多的关注用户名和密码，而没有将各个设备的管理地址写清楚。

另外对于一些设备来说可能会因为说明书丢失，而在RESET后忘记管理地址的情况也经常出现。

二，传统获取设备管理地址的方法：就算没有得到设备的管理地址我们依然可以通过传统方法解决，主要的解决办法有三个。

(1)RESET恢复法：通过设备自身的RESET键可以顺利的将设备所有配置信息清空，从而恢复到出厂状态。

这样相应的设备管理地址也被重置。

不过RESET恢复法存在局限，那就是如果设备自身没有RESET恢复功能，又或者本身就没有说明书不知道恢复后的出厂设置中管理地址信息的话同样无法通过此方法解决管理地址辩识的问题。

(2)DHCP自动获得法：找到一台计算机连接要恢复管理地址的网络设备，如果设备自身提供了DHCP自动分配地址功能的话，我们在计算机上将会获得由网络设备自身提供的IP，网关等网络信息，这个网关地址就是设备的管理地址。

我们可以通过此地址来访问管理界面。

不过此方法也同样存在缺点，那就是假如设备自身设置时就没有开启DHCP服务，又或者出厂设置中默认关闭了DHCP服务的话，我们计算机上将无法获得任何 DHCP 分配的信息，自然也就无法定位管理地址了。

(3)密码恢复控制台恢复法：最后一种方法多出现在路由器和交换机上，传统路由交换设备都可以通过开机特殊方法进入到密码恢复控制台，通过这个控制台我们可以针对设备的基本信息进行修改，可以强行将密码，管理IP等参数更改为你输入的地址，这样就实现了管理地址的恢复。

不过这种方法局限性比较大，很多设备不支持。

Cain & Abel 是由Oxid.it开发的一个针对Microsoft操作系统的免费口令恢复工具。

号称穷人使用的L0phtcrack。

它的功能十分强大，可以网络嗅探，网络欺骗，破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议，甚至还可以监听内网中他人使用VOIP拨打电话。

Abel 是后台服务程序，一般不会用到，我们重点来介绍Cain的使用。

Cain安装：首先我们需要安装Winpcap驱动，一路next下去就可以安装成功了然后我们就可以使用Cain了，让我们打开传说中的Cain，界面十分简单明了，但是它的功能可就不简单了。

Cain使用：一、读取缓存密码：切换到“受保护的缓存口令”标签，点上面的那个加号缓存在IE里的密码全都显示出来了。

二、查看网络状况切换到“网络” 标签，可以清楚的看到当前网络的结构，我还看到内网其他的机器的共享目录，用户和服务，通过上图，我们清楚的看到Smm-DB1开启了IPC$默认共享连接和其他盘隐藏共享。

三、ARP欺骗与嗅探ARP欺骗的原理是操纵两台主机的ARP缓存表，以改变它们之间的正常通信方向，这种通信注入的结果就是ARP欺骗攻击。

ARP欺骗和嗅探是Cain我们用的最多的功能了，切换到“嗅探”标签在这里可以清晰的看到内网中各个机器的IP和MAC地址。

我们首先要对Cain进行配置，先点最单击最上面的“配置”在“嗅探器”中选择要嗅探的网卡，在“ARP(Arp Poison Routing)”中可以伪造IP地址和MAC地址进行欺骗，避免被网管发现。

在“过滤与端口”中可以设置过滤器，可以根据自己的需要选择过滤的端口，如嗅探远程桌面密码的话，就钩选RDP 3389端口。

小提示：比如我要嗅探上面的61.132.223.10机器，第二个网卡显示我的ip地址为61.132.223.26，和目标机器是同一内网的，就使用第二个的网卡欺骗。

单击网卡的那个标志开始嗅探，旁边的放射性标志则是ARP欺骗。

利用cain还原flashfxp加密后的ftp密码或许你会这样问——Cain不是用来嗅探的吗？怎么能用来还原加密后的密码？没错今天偶然发现Cain在渗透过程中还有一个不错的使用技巧，就是用来还原你从管理员电脑里拿来的flashfxp里的密文大家都知道向任何地方提交登陆信息都是要以明文形式提交的，不然服务器或者网站根本无法识别，这个就相当于我们以前说过的网马解密，网马要在你的机器上运行，在进入你机器的同时就要进行还原，把自己千变万化的加密还原为最基础的网页代码，这样你的IE 才能将它识别并运行。

没错！Flashfxp也是如此。

让我们一起来看看flashfxp的加密密文，flashfxp的连接记录保存在Stats.dat这个文件里我们打开我本机的Stats.dat看看大家都看到IP:60.169.2.160User=sXXXXdioPass=….一堆密文或许大家会说——既然又了配置文件直接连接上ftp得到webshell就好了啊。

干吗还要浪费时间去拿这个密码？没又渗透经验的人肯定是如此啦。

换个思路。

如果这个管理员的FTP密码是服务器的密码呢？或者这个密码就是域名管理的密码呢？很多时候网站的密码都是统一的。

而且都是有规律的，甚至会被以明文形式保存在服务器或者管理员的电脑、或者OA办公网络的某个高层管理的电脑里。

如果在渗透过程中能得到一个明文的密码，对于掌握管理员的密码命名习惯是很有帮助的哦o(∩_∩)o…！不多废话，具体实不实用、好不好用——谁用谁知道！现在打开我们亲爱的渗透利器——Cain首先选择网卡点那个设置确定后按那个Snifer进行嗅探右键扫描下局域网然后按左下角黄色的ARP再点上面的蓝色加号添加要进行嗅探的机器左边选你的路由器地址。

右边建议全选。

或者选你自己IP就行。

这里我全选。

然后确定，再点下这里的黄色辐射图标可就开始嗅探了。

然后进入password子页面，就是嗅探出来的密码页面。

开始是空的。

Sniffer抓取FTP密码一、实训目的1.学会如何添加组件ftp协议2.了解sniffer软件3.掌握sniffer抓取ftp密码的方法二．实训内容1.添加组件ftp协议开始—设置—控制面板—添加/删除程序—IIS—ftp服务在安装过程中需要I386文件，并指定其路径。

安装成功如下：2.了解sniffer软件Sniffer软件是NAI公司推出的功能强大的协议分析软件。

本文针对用Sniffer Pro 网络分析器进行故障解决。

利用Sniffer Pro 网络分析器的强大功能和特征，解决网络问题，将介绍一套合理的故障解决方法。

与Netxray比较，Sniffer支持的协议更丰富，例如PPPOE协议等在Netxray并不支持，在Sniffer上能够进行快速解码分析。

Netxray不能在Windows 2000和Windows XP上正常运行，Sniffer Pro 4.6可以运行在各种Windows平台上。

Sniffer软件比较大，运行时需要的计算机内存比较大，否则运行比较慢，这也是它与Netxray相比的一个缺点。

3.建用户gx1，密码123（省略）4.用sniffer抓取ftp密码打开sniffer软件，点击define filter，对address进行设置如下:在define filter下，选择advanced，依次点击ip—tcp—ftp点击start ，开始捕捉，捕捉结果如下：在define filter下，点击add pattern在edit pattern下，找出ftp：line 1: user gx1，点击ftp：line 1: user gx1，删除6，7，8，9下面的记录—ok在edit pattern下，找出ftp：line 1: pass 123，点击ftp：line 1: pass 123，删除6，7，8，9下面的记录—ok再次点击start ，开始捕捉，捕捉结果如下：三、实训小结通过本次学习，我学会如何添加组件ftp协议，了解sniffer软件，并且掌握sniffer抓取ftp密码的方法。