Cain是一款强大的网络嗅探工具,在网络渗透方面具有优势,尤其是Sniffer。Cain主要用于Windows平台的嗅探。Cain在嗅探FTP、POP3、网站登录密码、Telnet及数据库密码等方面有很大的优势。早期版本的Cain还能嗅探远程终端的密码,通过分析RDP协议数据直接获取远程终端的密码,后来由于远程终端采取了一些安全措施,所以使用Cain嗅探获取的RDP包数据就是加密的了。由于Cain的强大嗅探功能,目前很多杀毒软件都将其列为危险软件,并对其进行查杀。因此,在直接安装或者采用简略版安装Cain时,要注意系统使用的杀毒软件,在必要时可以先关闭杀毒软件,在完成嗅探后重新开启杀毒软件。
本节介绍Cain在网络监听方面的应用,以及如何制作非安装版的Cain。
图3-73 配置Cain
Cain的安装比较简单,按照提示完成即可。安装Cain后,需要安装WinpCap抓包软件,Cain才能正常使用。
运行Cain软件,选择网卡进行配置。Cain运行后会自动将计算机中的网卡IP地址、子网掩码等显示出来。在“Sniffer”选项卡中选中“Options”设置区的所有选项,如图3-73所示,其他保留默认设置即可。配置完毕,在Cain主界面的左下角中单击圆形图标,开始监听。
在Cain主界面依次选择“sniffer”→“password”选项,然后在右边的“Passwords”列表中选择括号中数字大于0的选项。括号中的数字表示Cain监听到的有关密码数据的条数。选中某个条目,在右边区域会显示监听的详细结果。
选择“SMB(2)”,如图3-74所示,可以看到相应记录的“Timestamp”(时间戳)、“SMB Server”、“Client”、“Username”、“Domain”、“Password”、“AuthType”等信息。由于其监听的密码为空,所以计算机的IP地址为192.168.1.60,Administrator用户的“Password”栏中没有数据。
图3-74 SMB监听结果
在Cain中选择“Protected Storage”选项卡,可以看到保存在系统中的有关网站的用户名和密码,如图3-75所示,获取这些信息后可以直接登录网站并进行相应的操作。
图3-75 获取存储在系统中的密码
在本案例中,由于存在SQL Server数据库,因此当客户端连接SQL Server数据库服务器时,其用户名和密码均可以通过Cain截获。如图3-76所示,SQL Server客户端的地址为192.168.1.61,使用数据库账号“sa”、密码“JJF***2000”连接IP地址为192.168.1.60的SQL Server数据库服务器。
图3-76 查看截获的SQL Server数据库账号和密码
本案例通过安装和配置Cain对内网进行监听和嗅探,在嗅探过程中获取了SMB密码和SQL Server数据库的账号和密码。可以使用Psexec.exe和SQLTools等工具对获取了账号和密码的计算机实施控制。