集扫描、嗅探、破解于一身的CAIN使用教程

CAIN使用教程
声明：任何不经别人同意而进入别人网络都是非法和不道德的行为。

本教程用于学习和交流，如由此产生一切违法行为与本教程无关。

题记：
本人是中国无线门户无线安全版块ID“David98”。

本教程是根据网上现有的资料还有我的理解加上实际操作实践编辑整理而成。

由于本人也是初学者，缺乏专业的理论知识，因此文中不免存在理解的偏差甚至错误，希望各位朋友指正。

最后希望更多的朋友参与到教程的修正，整理和完善。

对无线WEP和WPA破解有兴趣的朋友也可加入QQ 群:14121760一起交流。

谢谢！！
CAIN使用教程
CAIN是一个WINDOWS平台上的破解各种密码，嗅探各种数据信息，实现各种中间人攻击的软件。

首先下载cain软件
找不到下载地址的可到我们共享区/wificrack下载，共享区有4.9英文版和汉化补丁。

CAIN下有两个程序，一个是CAIN主程序，一个是Abel服务程序。

Abel服务程序需要手动进行安装。

正确安装CAIN后从CAIN目录下拷贝Abel.exe和Abel.dll到C:\Windows\System32目录下，运行Abel.exe安装，并在服务里设置为自动启动。

运行CAIN，主界面如图所示
我们先来看看CAIN的几个大类的使用，大类页面如下图
一．解密器：
解密器的作用主要是读取缓存中保存的各种密码。

你可以点击左边的各选项然后点击上面的
在右边的窗口你可以看到你曾经正确使用过的无线的密码都保存在这里，如下图所示。

大家可以清楚的看到SSID和后面的密码。

二．网络
这个网络主要用来鉴别各域控制器，SQLserver，打印服务，远程拨入，终端服务等。

网络的左侧用来浏览网络结构和连接远程主机。

连接到主机就可列出用户名，工作者，服务，共享资源等。

如下图，我们清楚的看到SMM-DB1开启了IPC$默认共享连接和文件夹共享。

同时也可以搜索到计算机的用户组和组的用户名，虽然NT版本以后不能建立空连接了，但是还是可以通过提取SID来获得Admin的账号，因为管理员的SID总是500。

如下图所示
三．嗅探器（包含局域网的嗅探和ARP欺骗）
嗅探器是CAIN的重点，很多人用CAIN主要就是用这个嗅探器和ARP欺骗。

CAIN中的嗅探器，主要嗅探局域网内的有用信息，比如各类密码等。

CAIN中的ARP的欺骗，原理是操纵两台主机的ARP缓存表，以改变它们之间的正常通信方向，这种通信注入的结果就是ARP欺骗攻击，利用ARP欺骗可以获得明文的信息。

1．程序配置
首先点击菜单的配置按钮
接下来看看其他的几张选项卡，如下图
这两张选项卡中HTTP区域主要定义了HTTP的字段，用来检查和过滤HTTP包中包含的敏感字符，比如用户名密码等。

过滤与端口选项是CAIN定义的过滤程序和协议的各种端口，你可以关闭你不需要过滤的程序协议，比如POP3、ICQ、FTPS、RDP等。

另外两张选项卡就不用看了不需要进行什么设置。

2．MAC地址扫描
选择功能栏的嗅探器，然后选择下面的主机扫描之前需要先激活嗅探器，点击上面的
点击左侧栏最上面的APR后就出现下图所示，这时在右边空白处点一下鼠标，上面的
手动修改，定义APR-HTTPS使用指定的伪证书注入到“被ARP欺骗主机”和指定的HTTPS 服务器的连接中。

b．APR-DNS
这是DNS欺骗，点击APR-DNS欺骗，再点击上面的
开始ARP欺骗。

这时候被欺骗的主机192.168.2.2如果打开的话进入的不是百度的首页而是202.120.111.62的华东理工大学的主页。

如下图，欺骗成功。

如果你做一个WEB认证的钓鱼网站，当对方登陆某WEB认证网站的时候发送的WEB认证信息将转到你的钓鱼网站上。

这个问题就大了，因此建议各位朋友加强安全意识，提高安全措施。

c．APR-SSH-1欺骗
SSH是远程登陆协议，ARP可以利用MITM中间人攻击捕获并解密SSH会话。

具体我也没用过。

d．APR-HTTPS-1欺骗
APR-HTTPS可以捕获和解密主机和服务器间的HTTPS通信，与APR-Cret证书收集器配合使用，注入伪造的数字证书到SSL会话中，在被欺骗主机到达真正的服务器之前解密和加密数据。

这种HTTPS欺骗会利用伪造的数字证书，因此对方会看到这个弹出的未经认证的数字证书请求认证。

一般人不会看这个数字认证的（各位朋友你们仔细看过几次这种数字认证证书？）。

主要过程：
1)开启HTTPS过滤，
2)激活APR欺骗，
3)“被欺骗主机”开启一个HTTPS会话，
4)来自“被欺骗主机”的数据包被APR注入，并被CAIN捕获，
5)APR-HTTPS从APR-Cret证书收集器中搜索一个相近的伪证书，并是使用这个伪证书。

6)捕获的数据包修改了MAC、IP、TCP源端口，然后使用Winpcap重新发送到局域网，
与客户端建立连接
7)创建HTTPS服务器连接，（“被欺骗主机”要连接的真实的服务器）
8)使用伪证书与真实服务器连接，并使用OpenSSL库管理加密的通信。

9)包由客户端发送出去，被修改后再回到“被欺骗主机”
10)来自HTTPS服务器的数据被加密保存到会话文件中，重新加密并经客户端连接发送到
“被欺骗主机”
APR-HTTPS具体我也不太懂，上面这段过程文字来自SeeYou翻译文。

APR-RDP
RPD是远程桌面协议，用这个可以捕获被欺骗者连接远程桌面的密码，同理也是利用MITM 中间人攻击。

只要对方登陆了远程桌面就能得到这个文件，如下图所示
点开第三个选择查看，将看到下图所示，从中可以找到用户名和密码
下面的APR-FTPS、APR-POP3、APR-IMAPS、APR-LDAPS等由于我没去实践和验证就先不写了，大体意思差不多就是用ARP欺骗实现中间人攻击，从而获得一些信息。

接下来看看选项中的口令
，点口令进入
下面页面
如右图所示，CAIN可以嗅探到图示那些在被嗅探的主机上的
口令。

包括POP3、SQL、VNC、FTP等。

举例点选项卡左侧HTTP，我们将从右侧看到很多HTTP通信的记录。

如下图红色部分所示，我在HTTP登陆的邮箱和登陆中国无线门户论坛的账号和密码都被记录了。

再下来看看V oIP里保存的是V oIP通话的内容。

如果对方使用了V oIP通话，那些录音都被保存在这里。

四．破解器
CAIN中的破解器支持很多通用的HASH算法的破解及加密方法，还有暴力破解和字典破解。

破解菜单如图所示还有左侧的破解器，内容比较多有MD5破解SHA1破解等很多我也不知道怎么用。

我就讲我们无线常用到的WEP破解和WPA破解。

首先点右侧的菜单中如右图的802.11 Captures无线捕获选项，再
点击上面的
从上图可以看出ESSID为ZiJing的AP是一个WPA加密并有有一个WPA握手包。

BSSID 为001478E52A54是一个WEP加密并有一个100381的ivs包可用来破解。

首先我们选择
001478E52A54的AP，下面出现KoreK攻击和PTW攻击。

这个攻击需要数据包达到250000。

但是用aircrack来进行破解10000的包就能出密码了。

因此其破解WEP的功能并无实际意义。

接下来我们看ZiJing的WPA加密的AP，我们选择这个AP，下面出现发送WPA Hashes到破解器，我们点一下这个按钮。

我们看左侧的WPA-PSK Auth已
经有一个添加了如图所示我们选择右边窗口刚刚添加的ESSID为ZiJing的AP，点右键出现如下菜单
我们可根据实际情况选择字典破解
和暴力破解。

选择字典破解，出现下图所示选项，我们添加字典然后选择开始，就开始字典破解
我们也可选择暴力破解，在预定义栏我们可选择数字、字母、字符串、特殊字符等选项。

后面还可以设定密码的长度。

WPA密码的长度是8-63位。

设好以后点击下面的开始可以破解WPA密码了。

注：CAIN的WEP和WPA破解速度非常慢，远不如aircrack-ng。

其破解的实际意义并不大。

另外在CAIN目录下Winrtgen文件夹里有个双击打开，是一个
Rainbow Tables Generator，点击下面的
六．无线网络
这个是用于扫描无线网络并对无线路由器进行WEP破解的，和获得WPA握手包的。

打开无线网络以后如下图所示。

大家可以看到WPA-PSK验证，获得了验证包后可以直接发送到破解器进行密码破解，虾米还有WEP注入支持无客户端的破解。

但是这些需要AirPcap网卡的支持，这种网卡国内比较少，国外的价格也在1500RMB左右。

附录
HTTPS中双向认证SSL 协议的具体过程：
①浏览器发送一个连接请求给安全服务器。

②服务器将自己的证书，以及同证书相关的信息发送给客户浏览器。

③客户浏览器检查服务器送过来的证书是否是由自己信赖的 CA 中心所签发的。

如果是，就继续执行协议；如果不是，客户浏览器就给客户一个警告消息：警告客户这个证书不是可以信赖的，询问客户是否需要继续。

④接着客户浏览器比较证书里的消息，例如域名和公钥，与服务器刚刚发送的相关消息是否一致，如果是一致的，客户浏览器认可这个服务器的合法身份。

⑤服务器要求客户发送客户自己的证书。

收到后，服务器验证客户的证书，如果没有通过验证，拒绝连接；如果通过验证，服务器获得用户的公钥。

⑥客户浏览器告诉服务器自己所能够支持的通讯对称密码方案。

⑦服务器从客户发送过来的密码方案中，选择一种加密程度最高的密码方案，用客户的公钥加过密后通知浏览器。

⑧浏览器针对这个密码方案，选择一个通话密钥，接着用服务器的公钥加过密后发送给服务器。

⑨服务器接收到浏览器送过来的消息，用自己的私钥解密，获得通话密钥。

⑩服务器、浏览器接下来的通讯都是用对称密码方案，对称密钥是加过密的。