tcpdump密码嗅探

tcpdump密码嗅探

在ftp server 监听 网卡eth0 上的 21 端口
tcpdump -i eth0 -nn -X 'port 21'

在client login

然后回来就可以看到了

此处省略

0x0020: 5018 3908 846a 0000 3232 3020 2876 7346 P.9..j..220.(vsF
0x0030: 5450 6420 322e 322e 3229 0d0a TPd.2.2.2)..
11:58:48.817338 IP 192.168.1.45.50807 > 192.168.1.190.21: Flags [P.], seq 1:12, ack 21, win 64220, length 11

此处省略
11:58:48.817338 IP 192.168.1.45.50807 > 192.168.1.190.21: Flags [P.], seq 1:12, ack 21, win 64220, length 11
0x0000: 4500 0033 4bbd 4000 8006 2acc c0a8 012d E..3K.@…*….-
0x0010: c0a8 01be c677 0015 3f3d 8a16 8498 c78c …..w..?=……
0x0020: 5018 fadc ac0e 0000 5553 4552 2072 6f6f P…….USER.roo
0x0030: 740d 0a t..
11:58:48.817345 IP 192.168.1.190.21 > 192.168.1.45.50807: Flags [.], ack 12, win 14600, length 0
0x0000: 4500 0028 cefd 4000 4006 e796 c0a8 01be E..(..@.@…….
0x0010: c0a8 012d 0015 c677 8498 c78c 3f3d 8a21 …-…w….?=.!
0x0020: 5010 3908 1680 0000 P.9…..
11:58:48.817443 IP 192.168.1.190.21 > 192.168.1.45.50807: Flags [P.], seq 21:55, ack 12, win 14600, length 34
0x0000: 4500 004a cefe 4000 4006 e773 c0a8 01be E..J..@.@..s….
0x0010: c0a8 012d 0015 c677 8498 c78c 3f3d 8a21 …-…w….?=.!
0x0020: 5018 3908 8478 0000 3333 3120 506c 6561 P.9..x..331.Plea
0x0030: 7365 2073 7065 6369 6679 2074 6865 2070 se.specify.the.p
0x0040: 6173 7377 6f72 642e 0d0a assword…
11:58:48.817564 IP 192.168.1.45.50807 > 192.168.1.190.21: Flags [P.], seq 12:25, ack 55, win 64186, length 13
0x0000: 4500 0035 4bbe 4000 8006 2ac9 c0a8 012d E..5K.@…*….-
0x0010: c0a8 01be c677 0015 3f3d 8a21 8498 c7ae …..w..?=.!….
0x0020: 5018 faba ea5a 0000 5041 5353 2031 3233 P….Z..PASS.123
0x0030: 3435 360d 0a 456..

此处省略

可见 ftp软件为 vsftp ftp 用户是root 密码为123456