很多人对嗅探3389（远程桌面rdp协议）这一块，还是似懂非懂的，我就写了个总结文章，整理一下各种嗅探、劫持3389的方法，以及一些技巧经验大全，大杂烩，我尽量写得思路清晰一点，容易理解。

-------------------------------------------------------------------------------

利用 Arp 欺骗、劫持、嗅探的方法：

0、直接使用 CAIN 工具嗅探，然后分析嗅探到的数据包，分析方法见底下。

1、先看那机器的终端是谁连过去的，然后架 rdp proxy，然后 arp 欺骗，最后从 rdp proxy 的嗅探记录里，直接拿到登陆明文。

2、钓鱼攻击，使用 Arp 劫持，欺骗本机为目标机器，然后在本机安装本地密码记录软件，例如：WinlogonHack、WinPswLogger 等工具，然后坐等管理员连接，得到密码后恢复 Arp 劫持。

3、Arp 劫持 + 中间人转发数据的嗅探的方法，详细描述见底下。

从 CAIN 嗅探到的 RDP 数据包中，如何得到账号、密码的方法：

你认真看看 CAIN 的数据包，如果是在远程桌面连接工具（mstsc.exe）本地保存密码登录的，那么就直接有明文。

如果不是本地保存登录的，是连接后才输入账号密码的，那么嗅探到的 RDP 数据包里面就有一段是专门解密的，每行一个字母，你认真找找，格式大概是这样的：

…… 省略 ……
Key pressed client-side: 0x2c - 'z'
…… 省略 ……
Key pressed client-side: 0x23 - 'h'
…… 省略 ……
Key pressed client-side: 0x12 - 'a'
…… 省略 ……
Key released client-side: 0x31 - 'n'
…… 省略 ……
Key pressed client-side: 0x22 - 'g'
…… 省略 ……
Key pressed client-side: 0x20 - 'h'
…… 省略 ……
Key pressed client-side: 0x17 - 'a'
…… 省略 ……
Key pressed client-side: 0x31 - 'o'
…… 省略 ……

//字符串为：zhanghao

搜索 Key pressed、Key released 可以得到，是一个个的字母的列出来的，这里就是用户连接成功后所输入的按键信息，组合一下，就可以得出账号密码。

这里要注意一下特殊字符，例如回车、空格、退格等，还有左、右方向键，这是切换输入框光标位置用的，不注意的话，出来的密码顺序是错误的。

同时告诉大家一个防止嗅探、密码记录的小技巧，你可以先输后半段，然后使用鼠标将输入框的光标切换到最前边（为什么不能用方向键切换光标？因为是可以从数据包中得到方向键按键记录的），然后再输入前半段，这样攻击者最终组合出来的密码顺序是错误的。

这招可以对付所有按键记录类软件，当然，你可以再发挥下，使用更复杂的输入顺序。

解开 rdp 数据包工具：

有个工具叫 RDP Parser，可以解开嗅探或截取到的 RDP 数据包文件，然后提取一些按键信息，用来最终拼接出用户名和密码。

Arp 劫持 + 中间人转发数据的嗅探的方法：

这个方法很早了，大概在2010年08月23日左右，有人在他博客发出来（原文章现在已删除了，删除原因见最底下，Google 能找到转载的），地址为：http://hi.baidu.com/0x24/blog/item/641268fc6261888fb901a0dd.html

过了一年半载后，又有人在t00ls论坛发过，具体就不写了，内容大致一样，如下所述。

历时半个月的空闲时间，一个与 CAIN APR RDP 功能相拟的嗅探器工具终于在这个周未完成。

值得一提是CAIN要在双向欺骗下才能嗅到RDP，如果服务端绑定网送，那么也只能嗅到连接，而不能嗅到数据，更别提密码等之类。

hijackport + rdpproxy 可以做到单向欺骗获取RDP数据包并解密还原。

关于 sniffer rdp，比 cain arp rdp 更强大的组合 hijackport + rdpproxy，Me 在附件中演示了两种获取密码方法。

1、钓鱼 (有点二)

2、单向模式 sniffer rdp 比起 cain arp rdp 更强 （cain arp rdp 要取得密码等信息必需双向模式. hijackport + rdpproxy 可以突破对方在绑定的情况下获得密码或对方所输入的所有键盘消息）

具体演示，请到我的网盘下载：hijackportrdpproxy.rar，网盘地址：http://9780399.ys168.com/

其他另类 Arp 方法：

转自：http://hi.baidu.com/0x24/blog/item/0dccbd4c64454ce7d72afcfa.html

时间：2011-12-31 21:09

这个另类,是思路另类一点,走的路不同.

这个直播比1还要早.原理更简单.

原理:

A.中间人

B.目标

C.客户端

注:

因为环境有点点特殊.在这说明一下.过程中..是取不取对方的MAC.只能取得网关MAC.

但也没有关系.为了测试环境达不达要求. 向网关发送了一条ARP.B.目标挂掉.整个恢复过程20分钟

由此判断网关没有绑定.是可以ARP.但一条ARP可以导至目标挂掉20分钟.这也说明网关的ARP表刷新的速度是每20分种一次.如何在没有目标MAC就意味着.通过中间人去进行数据转发.所以做了一个很大胆的测试.

1.每隔20分钟发送一次ARP欺骗.

2.模拟ICMP使其能ping通目标.

3.模拟TCP三次握手.伪造http反回一个黑页假象.

4.C --> B.3389 转为 C --> A.3389 记录密码

5.如果成功取得密码.停止端口转向.停止模拟.停止arp发送.等待网关刷新arp缓存.这时双方都不能登录.直到网关刷新.在这个漫长的等待中.ping 目标IP -T 抢在管理上线.

6.接下来就是拼人品.

整个直播记录.花费21分钟左右.成功获取 hack58 权限，下载地址：http://9780399.ys168.com/

相关工具介绍：

1、rdpproxy：Rdp Proxy 一个转发rdp协议数据包的软件，用于转发3389的数据，然后截取，你懂的……

2、hijackport：Hijack Port 劫持端口用的，一般和 Rdp Proxy 配套使用。

3、Cain：著名的综合黑客工具，大家都懂，就不解释了……

4、RDP Parser：可以解开嗅探或截取到的 RDP 数据包文件，然后提取一些按键信息，用来最终拼接出用户名和密码。

关于作者删除那篇文章，作者说是：

http://hi.baidu.com/0x24/blog/item/af60ae233af96e4092580795.html

2010-09-08 8:30：本来想公开 hijackport + rdpproxy 的，但我有所改变，我很绕幸的是之前得得过它的人，因为有两个很大的bug，使之在很多实践环境下无效..呵呵.......................最后删贴删贴......

（PS：对这货不想说啥了，一技术含量不高的软件，还当个宝似的，还假惺惺的不公开，改天也写一个。）