鬼仔's Blog

作者：cnqing

PS:应邀写了篇帮助

Websniff 1.0 是user权限的 rawsocket sniff，可以截取ftp,http,smtp …等密码，在渗透过程中绝对实用的工具。cncert网站发布的websniff需要 .net 2.0，客户端用firefox，如果用IE会让你错过一个参数设置。

先看下截图


bindip: 有多个IP的情况下，选择要监听的IP地址。只有一个IP，就不用选了。
filterport: 要监听的端口，只能同时监听一个，该参数匹配源地址或目的地址。
MiniSizeToCapture: 要捕获的数据包大小最小长度，例：设为40 那么只抓长度大于40的数据包。
KeyWordsFilter:要包含的关键字，例：设为”passwd ” 在符合上面条件的数据包进一步过滤包含”passwd”的数据包，1.0版本不支持多关键字。
Logfile:捕获的数据包文件存放位置，必须为一个可写目录。
StopAttime:定时停止，格式为给出的格式，必须设置这个参数。

按钮功能 ：
启动 启动当前任务，不要重复启动。
停止 停止当前任务。
刷新状态 可以查看当前抓到的数据包数和任务终止时间。

注意：欲下载数据包文件前必须停止，或等待任务终止。最好不要关闭当前页，以便控制本次任务状态。

常用设置方案：
1.FTP 如上图
2.HTTP 表单记录
bindip=IP地址
filterport: 80
MiniSizeToCapture: 0
KeyWordsFilter:user=
Logfile:捕获的数据包文件存放位置，必须为一个可写目录。
StopAttime:定时停止，格式为给出的格式，必须设置这个参数。

停止任务后将数据包文件下载到本地，使用wireshark或记事本查看内容。

关于抓取到的内容：
在有些情况下只能抓取到下行数据，即向服务器提交的数据，对记录FTP,HTTP表单,SMTP 这已足够。

后续版本将以ASPXshell客户端插件形式发布。