Cain & Abel(多口令破解工具)

Cain4.9(32位、64位通用)漢化版，這是一個(gè)可以crack屏保、PWL密碼、共享密碼、緩存口令、遠(yuǎn)程共享口令、SMB口令、支持VNC口令解碼、Cisco Type-7口令解碼、Base64口令解碼、SQL Server 7.0/2000口令解碼、Remote Desktop口令解碼、Access Database口令解碼、Cisco PIX Firewall口令解碼、Cisco MD5解碼、NTLM Session Security口令解碼、IKE Aggressive Mode Pre-Shared Keys口令解碼、Dialup口令解碼、遠(yuǎn)程桌面口令解碼等綜合工具，還可以遠(yuǎn)程crack，可以掛字典以及暴力crack，其sniffer功能極其強(qiáng)大，幾乎可以明文捕獲一切帳號(hào)口令，包括FTP、HTTP、IMAP、POP3、SMB、TELNET、VNC、TDS、SMTP、MSKERB5-PREAUTH、MSN、RADIUS-KEYS、RADIUS-USERS、ICQ、IKE Aggressive Mode Pre-Shared Keys authentications等。

新版本還附帶顯示器和路由協(xié)議的認(rèn)證路線提取器，字典和所有常見的散列算法和一些具體的認(rèn)證，密碼/哈希計(jì)算器，密碼分析攻擊，密碼解碼器和一些不那么常用的工具與網(wǎng)絡(luò)和強(qiáng)力餅干系統(tǒng)的安全。

Abel的功能包括：

遠(yuǎn)程控制臺(tái)：提供了遠(yuǎn)程計(jì)算機(jī)上的遠(yuǎn)程系統(tǒng)shell。
遠(yuǎn)程路由表管理：能夠管理遠(yuǎn)程系統(tǒng)的路由表。
遠(yuǎn)程TCP/UDP端口瀏覽器：顯示遠(yuǎn)程系統(tǒng)上本地端口的狀態(tài)，功能與netstat相同。
遠(yuǎn)程N(yùn)T散列轉(zhuǎn)儲(chǔ)：無論是否使用了Syskey，都能夠從SAM文件中讀取出NT的口令散列值。
遠(yuǎn)程LSA秘密轉(zhuǎn)儲(chǔ)：轉(zhuǎn)儲(chǔ)遠(yuǎn)程系統(tǒng)上的Local Security Authority Secrets的內(nèi)容。

cain4.9漢化版怎么用？

CAIN下有兩個(gè)程序，一個(gè)是CAIN主程序，一個(gè)是Abel服務(wù)程序。Abel服務(wù)程序需要手動(dòng)進(jìn)行安裝。正確安裝CAIN后從CAIN目錄下拷貝Abel.exe和Abel.dll到 C:\Windows\System32目錄下，運(yùn)行Abel.exe安裝，并在服務(wù)里設(shè)置為自動(dòng)啟動(dòng)，運(yùn)行CAIN，主界面如圖所示

我們先來看看CAIN的幾個(gè)大類的使用，大類頁面如下圖

一．解密器： 解密器的作用主要是讀取緩存中保存的各種密碼。你可以點(diǎn)擊左邊的各選項(xiàng)然后點(diǎn)擊上面的

你就可以在右邊的窗口看到保存在緩存中的密碼。我的電腦中我都看到了我MSN的賬號(hào)和密碼，曾經(jīng)登陸路由的賬號(hào)和密碼，郵箱的密碼。 舉例：點(diǎn)擊左邊的無線網(wǎng)絡(luò)口令，再點(diǎn)擊上面的

在右邊的窗口你可以看到你曾經(jīng)正確使用過的無線的密碼都保存在這里，如下圖所示。大家可以清楚的看到SSID和后面的密碼。

二．網(wǎng)絡(luò) 這個(gè)網(wǎng)絡(luò)主要用來鑒別各域控制器，SQLserver，打印服務(wù)，遠(yuǎn)程撥入，終端服務(wù)等。網(wǎng)絡(luò)的左側(cè)用來瀏覽網(wǎng)絡(luò)結(jié)構(gòu)和連接遠(yuǎn)程主機(jī)。連接到主機(jī)就可列出用戶名，工作者，服務(wù)，共 享資源等。如下圖，我們清楚的看到SMM-DB1開啟了IPC$默認(rèn)共享連接和文件夾共享。

同時(shí)也可以搜索到計(jì)算機(jī)的用戶組和組的用戶名，雖然NT版本以后不能建立空連接了，但是還是可以通過提取SID來獲得Admin的賬號(hào)，因?yàn)楣芾韱T的SID總是500。如下圖所示

三．嗅探器（包含局域網(wǎng)的嗅探和ARP欺騙） 嗅探器是CAIN的重點(diǎn)，很多人用CAIN主要就是用這個(gè)嗅探器和ARP欺騙。CAIN中的嗅探器，主要嗅探局域網(wǎng)內(nèi)的有用信息，比如各類密碼等。CAIN中的ARP的欺騙，原理是 操縱兩臺(tái)主機(jī)的ARP緩存表，以改變它們之間的正常通信方向，這種通信注入的結(jié)果就是ARP欺騙攻擊，利用ARP欺騙可以獲得明文的信息。 1．程序配置 首先點(diǎn)擊菜單的配置按鈕

出現(xiàn)下圖所示的配置菜單

首先選擇用于嗅探的以太網(wǎng)卡（可以是有線網(wǎng)卡也可以是無線網(wǎng)卡），本文中將選擇第二個(gè)無線網(wǎng)卡。下面的選項(xiàng)可以不選。 然后轉(zhuǎn)到ARP欺騙選項(xiàng)卡。 欺騙選項(xiàng)中可以用真實(shí)的IP地址也可以使用偽裝IP地址和的MAC。但是使用偽裝IP和MAC有幾個(gè)前提條件：

1.攻擊者的機(jī)器只能連接在HUB中，不能連接在交換機(jī)中 2. 設(shè)置的IP地址需是子網(wǎng)內(nèi)的合法的而且是未使用的IP地址預(yù)欺騙ARP緩存勾選，下面默認(rèn)每30秒發(fā)送一次ARP欺騙包。XP系統(tǒng)每2分鐘更新ARP 緩存，因此設(shè)置太大就不能達(dá)到欺騙的效果，設(shè)置太小會(huì)產(chǎn)生太多的ARP流量，如下圖所示。 

接下來看看其他的幾張選項(xiàng)卡，如下圖

這兩張選項(xiàng)卡中HTTP區(qū)域主要定義了HTTP的字段，用來檢查和過濾HTTP包中包含的敏感字符，比如用戶名密碼等。過濾與端口選項(xiàng)是CAIN定義的過濾程序和協(xié)議的各種端口，你可以關(guān)閉你不需要過濾的程序協(xié)議，比如POP3、ICQ、FTPS、RDP等。另外兩張選項(xiàng)卡 就不用看了不需要進(jìn)行什么設(shè)置。

2．MAC地址掃描 選擇功能欄的嗅探器，然后選擇下面的主機(jī)

掃描之前需要先激活嗅探器，點(diǎn)擊上面的

，然后在下面空白處點(diǎn)右鍵選擇掃描MAC地址，如右圖所示 1． 掃描整個(gè)子網(wǎng) 2． 規(guī)定掃描的范圍 3． 掃描哪些網(wǎng)卡工作在混雜模式下(B31) 注：處于混雜模式下網(wǎng)卡接口能接受所有通過它的數(shù)據(jù)流，不管是什么格式，什么地址的。它會(huì)接收并響應(yīng) 網(wǎng)絡(luò)上任何的數(shù)據(jù)。一般網(wǎng)卡接口默認(rèn)關(guān)閉 混雜模式。掃描混雜模式的網(wǎng)卡主要是檢測(cè)網(wǎng)絡(luò)中的嗅探器。處于混雜模式的網(wǎng)卡在B31那一欄就會(huì)有*號(hào)。 通過掃描我們將得到如下MAC（注：本機(jī)是掃不到的）

從上圖可以看到192.168.2.1是個(gè)netgear的網(wǎng)關(guān)地址。 MAC地址掃描是基于ARP請(qǐng)求包因此可快速定位MAC和IP的對(duì)應(yīng)關(guān)系，OUI指紋中包含了各大MAC廠商的信息，因此你可看到Netgear的路由器和Cisco-Linksys的網(wǎng)卡。 掃描到MAC以后可以點(diǎn)右鍵來解析主機(jī)名。 3．ARP欺騙 點(diǎn)擊下面的APR

出現(xiàn)下圖所示

點(diǎn)擊左側(cè)欄最上面的APR后就出現(xiàn)下圖所示，這時(shí)在右邊空白處點(diǎn)一下鼠標(biāo)，上面的

就從灰色變成了深藍(lán)色。點(diǎn)一下這個(gè)加號(hào)，出現(xiàn)下圖所示

在這個(gè)左側(cè)選擇被欺騙的主機(jī)，在右側(cè)選擇一臺(tái)或多臺(tái)PC，這時(shí)候?qū)⒉东@所有被欺騙主機(jī)和其他多臺(tái)主機(jī)之間的通信數(shù)據(jù)。也可以在右側(cè)選擇網(wǎng)關(guān)地址，則左側(cè)被欺騙主機(jī)與廣域網(wǎng) 的通信將被捕獲。例中左側(cè)選擇被欺騙主機(jī)192.168.2.2右側(cè)選擇網(wǎng)關(guān)地址192.168.2.1點(diǎn)確定。這時(shí)將出現(xiàn)下圖所示

配置好APR欺騙的主機(jī)后我們可以進(jìn)行ARP欺騙了，看左側(cè)欄我們可以進(jìn)行各種ARP欺騙。a． APR-Cert 這個(gè)是數(shù)字證書收集器，配合APR-HTTPS使用。 由HTTPS嗅探過濾自動(dòng)使用，也可手動(dòng)創(chuàng)建一個(gè)偽造的證書。偽造的證書保存在Certs下。當(dāng)前APR-HTTPS獲得證書列表在Cert.lst文件中。也可 手動(dòng)修改，定義APR-HTTPS使用指定的偽證書注入到“被ARP欺騙主機(jī)”和指定的HTTPS服務(wù)器的連接中。b． APR-DNS 這是DNS欺騙，點(diǎn)擊APR-DNS欺騙，再點(diǎn)擊上面的

出現(xiàn)如下圖所示的對(duì)話框在DNS名稱請(qǐng)求中輸入被欺騙主機(jī)要訪問的網(wǎng)址。在回應(yīng)包中輸入用于欺騙的網(wǎng)址。圖中輸入百度的網(wǎng)址，下面輸入華東理工大學(xué)的網(wǎng)址（網(wǎng)址為舉例說明，并無任何目的）。這時(shí)被欺騙的主機(jī)如果訪問百度網(wǎng)站的話會(huì)出來華東理工的主頁。一些盜取銀行賬號(hào)的垃圾就是自己做一個(gè)和銀行主頁一樣的釣魚網(wǎng)站，然后在下面的回應(yīng)包中輸入釣魚網(wǎng)站的網(wǎng)址。當(dāng)對(duì)方訪問銀行主頁時(shí)將會(huì)自動(dòng)轉(zhuǎn)到你的釣魚網(wǎng)站上。（銀行釣魚網(wǎng)站，WEB認(rèn)證頁面釣魚）等等 舉例：設(shè)置好之后點(diǎn)確定，然后再點(diǎn)擊上面菜單圖標(biāo)

開始ARP欺騙。這時(shí)候被欺騙的主機(jī)192.168.2.2如果打開www.baidu.com的話進(jìn)入的不是百度的首頁而是202.120.111.62的華東理工大學(xué)的主頁。如下圖，欺騙成功。如果你做一個(gè)WEB認(rèn)證的釣魚網(wǎng)站，當(dāng)對(duì)方 登陸某WEB認(rèn)證網(wǎng)站的時(shí)候發(fā)送的WEB認(rèn)證信息將轉(zhuǎn)到你的釣魚網(wǎng)站上。這個(gè)問題就大了，因此建議各位朋友加強(qiáng)安全意識(shí)，提高安全措施。

c． APR-SSH-1欺騙 SSH是遠(yuǎn)程登陸協(xié)議，ARP可以利用MITM中間人攻擊捕獲并解密SSH會(huì)話。具體我也沒用過。 d． APR-HTTPS-1欺騙 APR-HTTPS可以捕獲和解密主機(jī)和服務(wù)器間的HTTPS通信，與APR-Cret證書收集器配合使用，注入偽造的數(shù)字證書到SSL會(huì)話中，在被欺騙主機(jī)到達(dá)真正的服務(wù)器之前解密和加 密數(shù)據(jù)。這種HTTPS欺騙會(huì)利用偽造的數(shù)字證書，因此對(duì)方會(huì)看到這個(gè)彈出的未經(jīng)認(rèn)證的數(shù)字證書請(qǐng)求認(rèn)證。一般人不會(huì)看這個(gè)數(shù)字認(rèn)證的（各位朋友你們仔細(xì)看過幾次這種數(shù)字認(rèn)證證書？）。

主要過程： 1) 開啟HTTPS過濾， 2) 激活A(yù)PR欺騙， 3) “被欺騙主機(jī)”開啟一個(gè)HTTPS會(huì)話， 4) 來自“被欺騙主機(jī)”的數(shù)據(jù)包被APR注入，并被CAIN捕獲， 5) APR-HTTPS從APR-Cret證書收集器中搜索一個(gè)相近的偽證書，并是使用這個(gè)偽證書。 6) 捕獲的數(shù)據(jù)包修改了MAC、IP、TCP源端口，然后使用Winpcap重新發(fā)送到局域網(wǎng)，與客戶端建立連接 7) 創(chuàng)建HTTPS服務(wù)器連接，（“被欺騙主機(jī)”要連接的真實(shí)的服務(wù)器） 8) 使用偽證書與真實(shí)服務(wù)器連接，并使用OpenSSL庫管理加密的通信。 9) 包由客戶端發(fā)送出去，被修改后再回到“被欺騙主機(jī)” 10) 來自HTTPS服務(wù)器的數(shù)據(jù)被加密保存到會(huì)話文件中，重新加密并經(jīng)客戶端連接發(fā)送到 “被欺騙主機(jī)” APR-HTTPS具體我也不太懂，上面這段過程文字來自SeeYou翻譯文。 以下引用longas原話： 其實(shí)基于證書的攻擊基本原理是這樣的：合法客戶端向網(wǎng)站發(fā)出SSL 請(qǐng)求時(shí)，黑客截獲了這個(gè)請(qǐng)求，將其改成自己發(fā)出的，然后發(fā)給網(wǎng)站，網(wǎng)站收到后，會(huì)與黑客的計(jì)算機(jī)協(xié)商SSL加密級(jí)別，此時(shí)兩者之間的加密是正常的，而黑客在與網(wǎng)站交互的同時(shí)，記錄下對(duì)方的證書類型及算法，并使用同樣的算法偽造了證書，將這一偽造證書發(fā)給了客戶端，此時(shí)，客戶端以為自己在和網(wǎng)站交互，實(shí)際上是在和黑客的機(jī)器交互。原本加密的信息由于采用的是黑客的證書變成了明文，這樣密碼就截獲了。 (注：本機(jī)打開KIS以后會(huì)導(dǎo)致被欺騙客戶機(jī)無法正常上網(wǎng)，因此要使用APR欺騙必須先關(guān)閉本機(jī)的KIS) 舉例如下： 首先我們開啟HTTPS過濾，啟動(dòng)APR欺騙。局域網(wǎng)內(nèi)192.168.2.2作為被欺騙的對(duì)象，我們堅(jiān)持客戶端。 客戶端打開一個(gè)Gmail的https會(huì)話https://mail.google.com/mail，由于會(huì)話中的證書是被CAIN偽造的證書，因此會(huì)出現(xiàn)如下提示，見下圖

我們?yōu)g覽網(wǎng)頁的時(shí)候很多人是不看證書的詳細(xì)內(nèi)容，很自然的點(diǎn)擊是。賬號(hào)信息的泄露就從這里開始了。 點(diǎn)擊是以后就確認(rèn)了這個(gè)偽證書，這時(shí)會(huì)出現(xiàn)正常的Gmail的登陸頁面，如下圖

同時(shí)我們也會(huì)在CAIN中的APR下的APR-HTTPS下看到會(huì)話被捕獲，在APR-Cert下看到有偽造的證書。如下圖：

當(dāng)被欺騙的客戶端192.168.2.2在登陸頁面中輸入Gmail的賬號(hào)和密碼登陸以后我們就會(huì)在password的https選項(xiàng)下看到被捕獲的明文的賬號(hào)和密碼信息了。見下圖

HTTPS的加密的數(shù)據(jù)就這樣在CAIN的APR欺騙中被明文獲取。 因此希望各位朋友提高網(wǎng)絡(luò)安全意識(shí)，防止APR欺騙建議安裝365的APR防火墻。 APR-RDP RPD是遠(yuǎn)程桌面協(xié)議，用這個(gè)可以捕獲被欺騙者連接遠(yuǎn)程桌面的密碼，同理也是利用MITM中間人攻擊。只要對(duì)方登陸了遠(yuǎn)程桌面就能得到這個(gè)文件，如下圖所示

點(diǎn)開第三個(gè)選擇查看，將看到下圖所示，從中可以找到用戶名和密碼

下面的APR-FTPS、APR-POP3、APR-IMAPS、APR-LDAPS等由于我沒去實(shí)踐和驗(yàn)證就先不寫了，大體意思差不多就是用ARP欺騙實(shí)現(xiàn)中間人攻擊，從而獲得一些信息。 接下來看看選項(xiàng)中的口令

，點(diǎn)口令進(jìn)入下面頁面 如右圖所示，CAIN可以嗅探到圖示那些在被嗅探的主機(jī)上的口令。包括POP3、SQL、VNC、FTP等。 舉例點(diǎn)選項(xiàng)卡左側(cè)HTTP，我們將從右側(cè)看到很多HTTP通信的記錄。如下圖紅色部分所示，我在HTTP登陸的郵箱和登陸論壇的賬號(hào)和密碼都被記錄了。

再下來看看VoIP里保存的是VoIP通話的內(nèi)容。如果對(duì)方使用了VoIP通話，那些錄音都被保存在這里。

四．破解器 CAIN中的破解器支持很多通用的HASH算法的破解及加密方法，還有暴力破解和字典破解。 破解菜單如圖所示

還有左側(cè)的破解器，內(nèi)容比較多有MD5破解SHA1破解等很多我也不知道怎么用。 我就講我們無線常用到的WEP破解和WPA破解。 首先點(diǎn)右側(cè)的菜單中如右圖的802.11 Captures無線捕獲選項(xiàng)，再點(diǎn)擊上面的

號(hào)，添加在BT3下截獲到的WEP的CAP包或者WPA的握手信息包。然后右鍵點(diǎn)擊添加的CAP包文件，選擇分析出現(xiàn)下圖所示

從上圖可以看出ESSID為ZiJing的AP是一個(gè)WPA加密并有有一個(gè)WPA握手包。BSSID為001478E52A54是一個(gè)WEP加密并有一個(gè)100381的ivs包可用來破解。首先我們選擇001478E52A54的AP，下面出現(xiàn)KoreK攻擊和PTW攻擊

這個(gè)攻擊需要數(shù)據(jù)包達(dá)到250000。但是用aircrack來進(jìn)行破解10000的包就能出密碼了。 因此其破解WEP的功能并無實(shí)際意義。接下來我們看ZiJing的WPA加密的AP，我們選擇這個(gè)AP，下面出現(xiàn)發(fā)送WPA Hashes到破解器，我們點(diǎn)一下這個(gè)按鈕

。我們看左側(cè)的WPA-PSK Auth已經(jīng)有一個(gè)添加了如圖所示

我們選擇右邊窗口剛剛添加的ESSID為ZiJing的AP，點(diǎn)右鍵出現(xiàn)如下菜單

我們可根據(jù)實(shí)際情況選擇字典破解和暴力破解。 選擇字典破解，出現(xiàn)下圖所示選項(xiàng)，我們添加字典然后選擇開始，就開始字典破解

我們也可選擇暴力破解，在預(yù)定義欄我們可選擇數(shù)字、字母、字符串、特殊字符等選項(xiàng)。后面還可以設(shè)定密碼的長度。WPA密碼的長度是8-63位。設(shè)好以后點(diǎn)擊下面的開始可以破解WPA密碼了。

注：CAIN的WEP和WPA破解速度非常慢，遠(yuǎn)不如aircrack-ng。其破解的實(shí)際意義并不大。 另外在CAIN目錄下Winrtgen文件夾里有個(gè)

雙擊打開，是一個(gè)Rainbow Tables Generator，點(diǎn)擊下面的

。出現(xiàn)對(duì)話框如下圖所示

大家看上圖，這個(gè)軟件可以構(gòu)建很多的Table也包括WPA-PSK的。后面選擇密碼長度，下面選擇字母，數(shù)字，字符等。右下角填入ESSID。點(diǎn)擊OK開始產(chǎn)生相應(yīng)的WPA Table。然后用于WPA破解。 注：生成Table速度很慢，而且生產(chǎn)容量太大，實(shí)際應(yīng)用情況不好。 五．Traceroute 點(diǎn)擊Traceroute出現(xiàn)下圖所示�？梢钥闯龅竭_(dá)目標(biāo)主機(jī)所經(jīng)過的節(jié)點(diǎn)的IP地址，所用時(shí)間等信息。

CCDU好像是思科路由器的什么東西，我也沒用過。 六．無線網(wǎng)絡(luò) 這個(gè)是用于掃描無線網(wǎng)絡(luò)并對(duì)無線路由器進(jìn)行WEP破解的，和獲得WPA握手包的。打開無線網(wǎng)絡(luò)以后如下圖所示。

大家可以看到WPA-PSK驗(yàn)證，獲得了驗(yàn)證包后可以直接發(fā)送到破解器進(jìn)行密碼破解，蝦米還有WEP注入支持無客戶端的破解。但是這些需要AirPcap網(wǎng)卡的支持，這種網(wǎng)卡國內(nèi)比較少，國外的價(jià)格也在1500RMB左右。

附 錄

HTTPS中雙向認(rèn)證 SSL 協(xié)議的具體過程：

① 瀏覽器發(fā)送一個(gè)連接請(qǐng)求給安全服務(wù)器。

② 服務(wù)器將自己的證書，以及同證書相關(guān)的信息發(fā)送給客戶瀏覽器。

③ 客戶瀏覽器檢查服務(wù)器送過來的證書是否是由自己信賴的 CA 中心所簽發(fā)的。如果是，就繼續(xù)執(zhí)行協(xié)議；如果不是，客戶瀏覽器就給客戶一個(gè)警告消息：警告客戶這個(gè)證書不是可以信賴的，詢問客戶是否需要繼續(xù)。

④ 接著客戶瀏覽器比較證書里的消息，例如域名和公鑰，與服務(wù)器剛剛發(fā)送的相關(guān)消息是否一致，如果是一致的，客戶瀏覽器認(rèn)可這個(gè)服務(wù)器的合法身份。

⑤ 服務(wù)器要求客戶發(fā)送客戶自己的證書。收到后，服務(wù)器驗(yàn)證客戶的證書，如果沒有通過驗(yàn)證，拒絕連接；如果通過驗(yàn)證，服務(wù)器獲得用戶的公鑰。

⑥ 客戶瀏覽器告訴服務(wù)器自己所能夠支持的通訊對(duì)稱密碼方案。

⑦ 服務(wù)器從客戶發(fā)送過來的密碼方案中，選擇一種加密程度最高的密碼方案，用客戶的公鑰加過密后通知瀏覽器。

⑧ 瀏覽器針對(duì)這個(gè)密碼方案，選擇一個(gè)通話密鑰，接著用服務(wù)器的公鑰加過密后發(fā)送給服務(wù)器。

⑨ 服務(wù)器接收到瀏覽器送過來的消息，用自己的私鑰解密，獲得通話密鑰

⑩ 服務(wù)器、瀏覽器接下來的通訊都是用對(duì)稱密碼方案，對(duì)稱密鑰是加過密的。