Cain使用教程

一、写在前面

最近在编写一些软件的使用说明，今天来到Cain站，软件版本为：v4.9.56

二、参考文献

Cain官方帮助文档

三、正文

（一）界面介绍

可以看到，主界面大体就分为了5个部分

1.导航栏            ：可对一些list的打开，清除；视图的设置；嗅探的配置等等一些进行操作

2.工具栏            ：包括toolbar，status bar，sniffer bar三个部分

3.功能选项卡    ：包括Decoder，Network等等一些功能的选项

4.功能选择区    ：相当于功能选项卡下的子目录，比如Cached Passwords包括多种dump

5.清单区            ：列出详细清单

（二）功能介绍

1.Decoders：密码解码器

首先，先在功能选择区中，选择你希望执行的解码。之后点击toolbar区的“+”号即可执行操作

例：对Wireless Password进行decode

按操作步骤进行之后，做几个俯卧撑的功夫，你就可以看到在你计算机上存储的wifi密码信息了

——————

在toolbar区有一系列相关的小图标跟decoder是相关的

这些小工具的使用方法都十分简单，就不在这里啰嗦了

2.Network Enumerator 网络枚举器

用于鉴别域控制器（Domain Controllers）、SQL Server、打印服务（Printer Servers）、远程访问拨入服务（Remote Access Dial-In Servers）、Novell Servers、Apple 文件服务（Apple FileServers）、终端服务器（Terminal Servers）等，甚至能鉴别其操作系统版本。

左侧树用来浏览网络和连接到远程主机，一旦连接到服务器就可列出其用户的用户名、工作组、服务和共享资源。默认情况下 Cain 使用本地登录的用户名连接到远程主机的“IPC$”共享，若不能则使用空连接（匿名连接）。当列举用户名时，CAIN 也可提取它们的 SID（安全标识），并能鉴别出管理员（即使是改名了），这是通过查看帐号的 RID（SID 的最后部分）完成的，管理员的 RID 总是 500。

右边部分则展示具体的详细内容

3.Sniffer

Cain 的嗅探器功能主要集中的密码和认证信息的嗅探上，它不应与一些专业的嗅探软件相比，如 Observer、SnifferPro、Ethereal、OmniPeek， 但它可工作在交换式网络中，关键技术是使用了 APR （Arp Poison Routing－ARP 毒害路由）技术，又称“ARP  欺骗”。

在使用Sniffer之前，我们应该进行相应的configure

①configure

在这个dialog中，一共有九个选项卡可供设置，与Sniffer相关的为以下几点

a.Sniffer 嗅探器选项卡

在本选项卡中，主要对嗅探的网卡进行选择（有线/无线），在这里我们选择无线网卡，以便于后续的APR欺骗教程进行

b.APR选项卡

——Spoofing Options

可设置用真实IP和MAC或虚假的IP和MAC充当中间人，一般来说使用仿造的更为安全，但有两个前提条件：a.攻击者的机器只能连接在HUB中，不能连接在交换机中 b.设置的IP地址需是子网内的合法的而且是未使用的IP地址

这里伪造的MAC地址可以在注册表的"HKEY_CURRENT_USER\Software\Cain\Settings"中进行修改

其他选项根据需要进行修改，一般不需要变动，值得一提的是APR欺骗包发送频率，根据系统的APR包更新次数进行相应的设置，例如XP系统的APR包更新频率应该是2分钟一次，那么如果我们的APR欺骗包发送频率大于2分钟一次，那么该欺骗将不起效果。如果频率设置过快，则会产生过多的APR流量。一般来说默认的30秒就可以了

c.Filters and ports 过滤器和端口选项卡

在这里选择你需要过滤的协议和端口

d.HTTP fields  HTTP区域

这个选项卡定义了HTTP中的字段，用来检查和过滤HTTP包中包含的敏感字符，比如用户名密码等等，你可以根据需要进行相应的修改

②Sniffer的基本功能

点击Sniffer选项卡后，会出现如上的界面，可以留意到，在主界面的下部也出现了选项卡，我们可以将之叫做内部选项卡。此时显示的是Hosts选项卡

a.主机扫描

在进行相关操作之前，我们需要进行MAC地址的扫描

在扫描结束之后，我们得到一系列的主机信息，利用这些信息，我们可以进行下一步操作

b.APR

首先我们需要添加通信，按图中步骤可轻松完成打开“New APR Poison Routing”的对话框，在该对话框中，左边为被欺骗主机选项，当中的供选主机为上一步中扫描所得，选择一个主机之后，在右侧中选择一个或多个你想要监听的通信，一般建议选择网关地址，如此一来使得主机对外的通信可被监听或中间人攻击

添加成功后，点击APR按钮（下方的核辐射图标）

即可成功开始APR欺骗操作

——

a.APR-Cert

这是一个证书收集器的界面，右侧是相关的配置信息

证书收集器收集来自 HTTPS 站点的服务器证书，并为 APR－HTTPS 作准备。此功能由HTTPS嗅探过滤器自动使用，也可以手动创建一预计算的伪造的证书，这是为APR
－HTTPS 能通过 MITM 加密解密 HTTPS 通信而准备的。伪造的证书是由 Cain 自签名的，所以客户端浏览器会弹出对话框报告来自不受信任的证书机构，然而因为其他参数与真实证书一样，多数用户一般不会注意此警告。

伪造的证书保存在“Certs”子目录下，那些当前对 APR-HTTPS 活动的证书列表在“CERT.LST”文件中，你可以手动修改此列表文件以指示 Cain 的 APR-HTTPS注入你选择的证书到自 APR 受害主机到指定 HTTPS服务器地址的连接中。

在设置中还有“Certificate to Inject into Ineternet Browsers”的选项可用，想来应该是将证书注入到浏览器中，使得浏览器认为该证书来自可信第三方，此后将不会弹出对话框报告该证书来自不受信任的证书机构

用法：此功能 HTTPS 过滤器自动调用，你可以使用工具栏上的“＋”按钮手动收集并准备一伪造证书列表；非标准端口可指定端口，语法：“主机名：端口”或“IP 地址：端口”。

b.APR-DNS

对DNS应答包实施DNS欺骗攻击

工作原理：

APR－NDS 欺骗只简单的改写 DNS 应答包中的 IP 地址，Cain 嗅探器提取 NDS 请求包中的域名，并从欺骗列表中查找相应的地址，若有匹配的，数据包就被重写为相关欺骗的 IP 地址，并用 APR 欺骗引擎重路由之，这样客户端就收到了被欺骗的 DNS 应答包，从而有效的重定向到了预定目标 IP。

使用前需要配置需要欺骗的域名和相应要重写的IP地址，添加到APR-DNS表中，然后执行欺骗。图中的#Resp.Spoofed列显示了欺骗应答的数量

这里举个例子，

我配置好了www.hnu.edu.cn重写到222.247.53.90的设置后，用我的手机连入网段后，进行相应设置，将我的手机当作被欺骗主机，后开始APR欺骗。

在手机浏览器输入www.edu.edu.cn后，可以看到，重定向至IP地址为222.247.53.90的中南大学主页

 

c.APR-SSH-1

SSH（Secure Shell ）远程登录协议在不安全的网络中提供安全的认证和加密的通信。APR-SSH-1 使用 Cain 的 APR MITM中间人攻击捕获并解密 SSH 会话。
SSH 通信的构成分为以下几个阶段：

连接：客户端连接到服务器的 SSH 端口（通常是 TCP 22端口）。

认证阶段：服务器发送到客户端一个认证串，格式是“SSH-<主>.<次>-<版本>”，客户端分析此服务器串，并发送一个一致的串作为应答，此时 APR-SSH-1 自动替换服务器第一个包中为特定版本，降级为 SSH v1.51 通信。

协商阶段：服务器发送一不对称加密密钥和其他参数到客户端，Cain 收集服务器密钥并替换为本地新生成的密钥，以便客户端使用 MITM 密钥而不是服务器密钥。

会话设置阶段：客户端选择使用对称加密，并发送加密的会话密钥到服务器，此时会话密钥已经由客户端使用 Cain 的密钥加密，而不是用服务器密钥。因此程序能在发送回服务器之前解密并保存会话密钥，会话密钥对后续的解密是非常重要的。

加密阶段：服务器和客户端使用指定的对称密钥开始一个安全会话，Cain 可使用此会话密钥解密从网络上捕获的通信。

APR-SSH-1 工作在全双功模式来处理客户端和服务器双向的 SSH－1 通信，因为使用APR（ARP 欺骗），攻击者的 IP 和 MAC 地址可以完全隐藏，而不暴露到网上，嗅探器劫持的加密算法有：DES、3DES、Blowfish。

d.APR-HTTPS

APR-HTTPS 可以捕获并解密两主 机间的 HTTPS 通信，它与 Cain 的证书收集器（Certificate Collector）协同工作注入伪造的证书到 SSL会话中去，使用此欺骗，可能在到
达真实目的地前解密加密的数据，此种攻击也是中间人攻击。
警告：客户端会注意到此类攻击，因为被注入到 SSL 会话服务器证书是伪造的，尽管它很象真实的证书，因为证书未经受信任的 CA（证书机构）签名。当受害主机开始一个 HTTPS会话时，他的浏览器显示一个弹出对话框警告此类问题APR-HTTPS 使用证书收集器操纵的证书文件，它们包含与真实证书除不对称密钥外的相同参数，这将会欺骗绝大多数用户接受服务器证书并继续 SSL 会话。APR-HTTPS表中下部分表包含了 MITM 攻击捕获的所有的会话文件，加密的数据保存在 HTTPS子目录下的文本文件中。

工作原理

Cain 的 HTTPS 嗅探器工作在全双功客户端透明模式，服务器和客户端的通信被加密，且如果欺骗被激活，攻击者的 IP 和 MAC 地址决不暴露给受害客户端，连接被本地监听的HTTPS“接收器”接收（配置中指定），劫持客户端连接。OpenSSL库用来管理多个 SSL 通信，一个用于“客户端<－>CAIN”，另一个用于“CAIN<－>服务器”。
以下是工作的详细步骤：
1、 HTTPS 过滤器由用户从配置对话框中激活；
2、 APR 欺骗由用户从工具栏按钮激活，中间人攻击就绪；
3、 受害主机开始一个新 HTTPS的会话（如 https://login.passport.com）；
4、 来自客户端的包被 APR 注入，并被 Cain 的嗅探器捕获；
5、 APR-HTTPS从证书收集器中搜索一个与服务器相应的伪造的证书，若有则使用它，若无则自动下载，并适当修改存入本地以备后用；
6、 受害包被修改以便重路由到本地接收者，修改项目有：MAC 地址、IP 地址、TCP源端口（端口地址转换－PAT用于处理多重连接），修改的数据使用 Winpcap 重新发送到局域网上，以便与客户端建立连接；
7、 创建服务器端连接，连接到受害者想要连的真实的服务器；
8、 使用 OpenSSL 库管理加密的通信，此连接是用受害客户端的伪造证书与真实服务器建立的；
9、 包由客户端发送出去，被修改后又再次回到受害客户端；
10、来自服务器的数据被加密并保存到会话文件中，重新加密并经客户端连接发送到受骗主机；
11、来自客户端的数据被加密并保存到会话文件中，重新加密并经服务器端连接发送到服务器。尽管使用伪造的证书能被发现，但这种攻击对客户机来说还是秘密的，因为受害者认为连接到了真实的服务器，可自己运行“netstat -an”检查一下。一旦加密，来自客户端的通信还是发送给 HTTP 嗅探器来对证书做进一步的分析，可以通过会话文件来查看详细内容。
局限：不能象代理服务器那样工作，因为使用 Winpcap 驱动不能从本地主机发起加密HTTPS 会话。
用法：成功设置 APR 后，激活 HTTPS嗅探过滤器，会话自动的保存进 HTTPS 子目录，可以通过列表中菜单的相应功能查看它。

e.APR-RDP

APR-RDP 能捕获并解密 RDP 远程桌面协议（Remote Desktop Protocol RDP ），RDP 是Windows远程计算机的终端服务协议。Windows 2000 终端服务可被安装为两种模式之一：可管理的和应用程序服务器，在管理模式中只有具有管理权限的用户能访问终端服务器。默认情况下终端服务的通信是被加密的，协议使用 RC4 对称加密算法并分为以下级别：

高：客户端、服务器使用 128 位密钥双向加密；

中：56 位密钥双向加密；

低：只加密从客户端向服务器的数据，依客户端版本不同使用 56 或 40 位密钥加密。

RDP 攻击的原理也是 MITM，是中间人攻击。

其他各种都是基本上一致操作的中间人攻击，都可以通过右键获取详细的信息，只是针对的协议有所不同罢了，因此省略其他比较少使用的协议部分

③password内部选项卡

在这一选项卡中，我们可以清楚的看到在APR欺骗过程中，被欺骗主机在相应协议上输入过的用户名，密码原文

可方便获取到一些敏感信息

④VoIP内部选项卡

VoIP（Voice over IP）嗅探器捕获网络中的谈话并录音到硬盘，若被嗅探器发现，每个方向（呼叫者<－>应答者）的声音数据就被捕获，然后保存为单声道或立体声的 WAV文件。若用 APR 欺骗，能悄悄捕获网上的 VoIP通信。

VoIP使用信号协议，如 H323、SIP。声音数据流通常用 RTP （Real-Time Transport Protocol）实时传输协议来传输，RTP提供不间断网络传输功能，适合程序在多播或单播网络服务上传输实时数据，如音频、视频和模拟数据，声音数据以压缩格式传送以节约带宽，编解码器常用来在发送接收端编码解码。

工作原理：嗅探器提取 RTP会话参数，如 RTP端口、呼叫应答者的 IP 地址、SIP 会话动态编解码器类型，然后捕获并解码 RTP 音频流，音频流一般用以下编解码器编码：G711uLaw、G771aLaw、ADPCM、DVI4、LPC、GSM610、MicrosoftGSM、L16、G729、Speex、iLBC、G722.1、G723.1、G726-16、G726-24、G726-32、G726-40、LPC-10，同时解码的音频保存到 WAV文件中。

4.cracker

这一部分的功能使用十分简单，按上图步骤即可

值得一提的是它支持的解密方法：

有①字典攻击②暴力破解③彩虹表暴力破解④彩虹表在线爆破（需要付费）

5.Traceroute

Cain 的traceroute是一个改进版的Windows工具“tracert.exe”，用于确定 IP 数据包访问目标所采取的路径。

在现代互联网上广泛使用的外围防御系统，有时不可能使用上述实用工具到达想要目的地；防火墙可以在不发送ICMP响应的情况下删除ICMP包，因此无法完全跟踪目标主机的整个路径。UDP或TCP协议可以用于绕过常见的防火墙限制，因此Cain的tracroute支持所有的这些限制

6.CCDU

Cisco Config Downloader/Uploader

思科配置下载/上传器

该特性允许您通过snmp/tftp下载或上传Cisco设备的配置文件。它支持使用旧的-思科系统-mib的路由器和交换机;或者新的ci思科-config-复制mib;有关这些MIBs的更多信息请参考思科网站。

它是如何工作的
1)Cain请求使用SNMP协议将配置文件传输给Cisco设备。请求包是使用厂商提供的一些专用的Cisco oid来构造的;它们还包含其他参数，如协议类型、服务器IP地址和文件名，以便指示设备在哪里发送或接收其配置文件。
2)在这个点上，设备使用请求中指定的协议启动文件传输(为了简单起见，设置为TFTP)。
3)Cain在监听模式下打开一个TFTP套接字，并处理文件传输。不需要TFTP服务器，当上传程序将配置文件发送到设备时，下载时就会收到它。
使用
要从设备上下载一个配置，按下键盘上的“Insert”按钮，或者单击工具栏上的蓝色+图标，就可以提供SNMP启用设备的IP地址和正确的读/写社区字符串。要上传一个配置，可以使用列表弹出菜单中的相对函数。
限制
如果对感兴趣的协议(snmp/TFTP)设置了网络限制，比如acl或防火墙规则，那么这个特性就不会起作用。TFTP文件传输是由设备本身发起的，所以您和设备之间的动态NAT也是一个问题。
需求
-CCDU在Cisco路由器和交换机上工作，这些交换机支持旧的系统-mib或新的思科-拷贝-拷贝-复制mib。PIX防火墙不支持这些MIBs。
-您还需要正确的读/写SNMP社区字符串(例如“私有”)，只读的是不够的。

7.Wireless

无线扫描器，具有主动扫描，被动扫描功能。被动扫描功能需要AirPcap网卡支持，暂且不表

点击Active Scan后，开始主动扫描，以下是扫描结果示例

8.Query

数据库查询

对于Cain功能的介绍就到这里为止，希望自己写的一些东西能够帮助到大家，也期待与各位相互交流，互相学习，共同进步