捕获telnet登录口令(2)

　　如果要玩点玄的，比如Trigger，我们可以这样考虑问题。第一个有效包应该是59字节，前面的其他报文在做三次握手、TELNET协商，长度都不是59字节(可以抓包确认这个结论)。定义一条规则"telnet_username begin"，对于这次的举例，实际就和 "telnet_username_passwd"一样，但是最好选择后者做模板单独重新定义一次，为什么？这个以后自然就会明白，至少可以让设置清晰、直观些。

　　最后一个有效包(就是说看到这个包后停止抓包)应该是什么呢？不能是60字节的0D 0A(对于微软平台的telnet)或者0D 00(Unix平台)，因为用户名输入结束的时候就有 一次60字节的报文出现，如果选择这样的报文做结束报文，口令就抓不到了。考虑登 录成功后服务器都会向客户机发送"Last login:"一类的信息，同一个包中还包括登 录后的shell显示，这个包显然要比前后附近的包大很多(不是三四个字节的问题)。 我们以此包为结束触发报文。定义一条规则"telnet_passwd end"，以 "telnet_username begin"为模板创建，修改两个地方，一个是"Size > 100"，一个 是"clientIp <-- serverIp"(反向，因为这个报文是从服务器到客户机的)。

　　至此我们定义了三条规则，一个开始触发规则、一个持续抓包规则、一个结束触发规则。开始设置Trigger：

　　Capture --> Trigger Setup...

　　四个复选框中只选中"Start Tigger"、"Stop Trigger"。因为以前没有设置过，无法从下拉列表中选择什么，只能分别定义触发器。以Start Trigger为例，进入Define， New一个新的触发器名字，起名"telnet_username begin"(不必和过滤规则一致，但 是保持一致比较清晰)，右边三个复选框只选中最下面的"Event filter"，那个下拉 列表里实际对应过滤规则，选中"telnet_username begin"过滤规则，确定。这里还可以设置什么时间开始触发，不过作为演示，简化这些可能。

　　Capture的下拉列表里也是对应的过滤规则，选中"telnet_username_passwd"过滤规则(持续抓包规则)。

　　"Stop Trigger"的定义类似"Start Trigger"，这次选择"telnet_passwd end"过滤规则，起名"telnet_passwd end"。同样，演示中不考虑时间设置，简化操作。

　　可以指定在结束触发条件满足后还多抓几个包，比如指定多抓2个包。

　　确定后这个触发器生效。什么意思呢。Sniffer Pro自动开始捕获报文，但是并不保存，直到碰上一个报文匹配了"telnet_username begin"过滤规则，此时开始保存在自己的缓冲区中。然后根据Capture处选择的"telnet_username_passwd"过滤规则持续抓包。一直到结束触发条件"telnet_passwd end"被满足。多抓两个包后彻底停止抓包。查看结果，就完整地对应了登录过程中用户名、口令的输入过程，很容易恢复 出口令明文和用户名。