CAIN使用教程声明：任何不经别人同意而进入别人网络都是非法和不道德的行为。

本教程用于学习和交流，如由此产生一切违法行为与本教程无关。

题记：本人是中国无线论坛/的ID“中卫”。

本教程是根据网上现有的资料还有我的理解加上实际操作实践编辑整理而成。

由于本人也是初学者，缺乏专业的理论知识，因此文中不免存在理解的偏差甚至错误，希望各位朋友指正。

如果对教程有任何意见和建议，欢迎各位 论坛提问和交流。

谢谢！！CAIN使用教程CAIN是一个WINDOWS平台上的破解各种密码，嗅探各种数据信息，实现各种中间人攻击的软件。

首先下载cain软件找不到下载地址的可到我们共享区/wificrack下载，共享区有4.9英文版和汉化补丁。

CAIN下有两个程序，一个是CAIN主程序，一个是Abel服务程序。

Abel服务程序需要手动进行安装。

正确安装CAIN后从CAIN目录下拷贝Abel.exe和Abel.dll到C:\Windows\System32目录下，运行Abel.exe安装，并在服务里设置为自动启动。

运行CAIN，主界面如图所示我们先来看看CAIN的几个大类的使用，大类页面如下图一．解密器：解密器的作用主要是读取缓存中保存的各种密码。

你可以点击左边的各选项然后点击上面的在右边的窗口你可以看到你曾经正确使用过的无线的密码都保存在这里，如下图所示。

大家可以清楚的看到SSID和后面的密码。

二．网络这个网络主要用来鉴别各域控制器，SQLserver，打印服务，远程拨入，终端服务等。

网络的左侧用来浏览网络结构和连接远程主机。

连接到主机就可列出用户名，工作者，服务，共享资源等。

如下图，我们清楚的看到SMM-DB1开启了IPC$默认共享连接和文件夹共享。

同时也可以搜索到计算机的用户组和组的用户名，虽然NT版本以后不能建立空连接了，但是还是可以通过提取SID来获得Admin的账号，因为管理员的SID总是500。

如下图所示三．嗅探器（包含局域网的嗅探和ARP欺骗）嗅探器是CAIN的重点，很多人用CAIN主要就是用这个嗅探器和ARP欺骗。

CAIN中的嗅探器，主要嗅探局域网内的有用信息，比如各类密码等。

CAIN中的ARP的欺骗，原理是操纵两台主机的ARP缓存表，以改变它们之间的正常通信方向，这种通信注入的结果就是ARP欺骗攻击，利用ARP欺骗可以获得明文的信息。

1．程序配置首先点击菜单的配置按钮接下来看看其他的几张选项卡，如下图这两张选项卡中HTTP区域主要定义了HTTP的字段，用来检查和过滤HTTP包中包含的敏感字符，比如用户名密码等。

过滤与端口选项是CAIN定义的过滤程序和协议的各种端口，你可以关闭你不需要过滤的程序协议，比如POP3、ICQ、FTPS、RDP等。

另外两张选项卡就不用看了不需要进行什么设置。

2．MAC地址扫描选择功能栏的嗅探器，然后选择下面的主机扫描之前需要先激活嗅探器，点击上面的点击左侧栏最上面的APR后就出现下图所示，这时在右边空白处点一下鼠标，上面的手动修改，定义APR-HTTPS使用指定的伪证书注入到“被ARP欺骗主机”和指定的HTTPS 服务器的连接中。

b．APR-DNS这是DNS欺骗，点击APR-DNS欺骗，再点击上面的开始ARP欺骗。

这时候被欺骗的主机192.168.2.2如果打开的话进入的不是百度的首页而是202.120.111.62的华东理工大学的主页。

如下图，欺骗成功。

如果你做一个WEB认证的钓鱼网站，当对方登陆某WEB认证网站的时候发送的WEB认证信息将转到你的钓鱼网站上。

这个问题就大了，因此建议各位朋友加强安全意识，提高安全措施。

c．APR-SSH-1欺骗SSH是远程登陆协议，ARP可以利用MITM中间人攻击捕获并解密SSH会话。

具体我也没用过。

d．APR-HTTPS-1欺骗APR-HTTPS可以捕获和解密主机和服务器间的HTTPS通信，与APR-Cret证书收集器配合使用，注入伪造的数字证书到SSL会话中，在被欺骗主机到达真正的服务器之前解密和加密数据。

这种HTTPS欺骗会利用伪造的数字证书，因此对方会看到这个弹出的未经认证的数字证书请求认证。

一般人不会看这个数字认证的（各位朋友你们仔细看过几次这种数字认证证书？）。

主要过程：1)开启HTTPS过滤，2)激活APR欺骗，3)“被欺骗主机”开启一个HTTPS会话，4)来自“被欺骗主机”的数据包被APR注入，并被CAIN捕获，5)APR-HTTPS从APR-Cret证书收集器中搜索一个相近的伪证书，并是使用这个伪证书。

6)捕获的数据包修改了MAC、IP、TCP源端口，然后使用Winpcap重新发送到局域网，与客户端建立连接7)创建HTTPS服务器连接，（“被欺骗主机”要连接的真实的服务器）8)使用伪证书与真实服务器连接，并使用OpenSSL库管理加密的通信。

9)包由客户端发送出去，被修改后再回到“被欺骗主机”10)来自HTTPS服务器的数据被加密保存到会话文件中，重新加密并经客户端连接发送到“被欺骗主机”APR-HTTPS具体我也不太懂，上面这段过程文字来自SeeYou翻译文。

以下引用longas原话：其实基于证书的攻击基本原理是这样的：合法客户端向网站发出SSL 请求时，黑客截获了这个请求，将其改成自己发出的，然后发给网站，网站收到后，会与黑客的计算机协商SSL加密级别，此时两者之间的加密是正常的，而黑客在与网站交互的同时，记录下对方的证书类型及算法，并使用同样的算法伪造了证书，将这一伪造证书发给了客户端，此时，客户端以为自己在和网站交互，实际上是在和黑客的机器交互。

原本加密的信息由于采用的是黑客的证书变成了明文，这样密码就截获了。

(注：本机打开KIS以后会导致被欺骗客户机无法正常上网，因此要使用APR欺骗必须先关闭本机的KIS)举例如下：首先我们开启HTTPS过滤，启动APR欺骗。

局域网内192.168.2.2作为被欺骗的对象，我们坚持客户端。

客户端打开一个Gmail的https会话https:///mail，由于会话中的证书是被CAIN伪造的证书，因此会出现如下提示，见下图我们浏览网页的时候很多人是不看证书的详细内容，很自然的点击是。

账号信息的泄露就从这里开始了。

点击是以后就确认了这个伪证书，这时会出现正常的Gmail的登陆页面，如下图同时我们也会在CAIN中的APR下的APR-HTTPS下看到会话被捕获，在APR-Cert下看到有伪造的证书。

如下图：当被欺骗的客户端192.168.2.2在登陆页面中输入Gmail的账号和密码登陆以后我们就会在password的https选项下看到被捕获的明文的账号和密码信息了。

见下图HTTPS的加密的数据就这样在CAIN的APR欺骗中被明文获取。

因此希望各位朋友提高网络安全意识，防止APR欺骗建议安装365的APR防火墙。

APR-RDPRPD是远程桌面协议，用这个可以捕获被欺骗者连接远程桌面的密码，同理也是利用MITM 中间人攻击。

只要对方登陆了远程桌面就能得到这个文件，如下图所示点开第三个选择查看，将看到下图所示，从中可以找到用户名和密码下面的APR-FTPS、APR-POP3、APR-IMAPS、APR-LDAPS等由于我没去实践和验证就先不写了，大体意思差不多就是用ARP欺骗实现中间人攻击，从而获得一些信息。

接下来看看选项中的口令，点口令进入下面页面如右图所示，CAIN可以嗅探到图示那些在被嗅探的主机上的口令。

包括POP3、SQL、VNC、FTP等。

举例点选项卡左侧HTTP，我们将从右侧看到很多HTTP通信的记录。

如下图红色部分所示，我在HTTP登陆的邮箱和登陆中国无线门户论坛的账号和密码都被记录了。

再下来看看V oIP里保存的是V oIP通话的内容。

如果对方使用了V oIP通话，那些录音都被保存在这里。

四．破解器CAIN中的破解器支持很多通用的HASH算法的破解及加密方法，还有暴力破解和字典破解。

破解菜单如图所示还有左侧的破解器，内容比较多有MD5破解SHA1破解等很多我也不知道怎么用。

我就讲我们无线常用到的WEP破解和WPA破解。

首先点右侧的菜单中如右图的802.11 Captures无线捕获选项，再点击上面的我们可根据实际情况选择字典破解和暴力破解。

选择字典破解，出现下图所示选项，我们添加字典然后选择开始，就开始字典破解我们也可选择暴力破解，在预定义栏我们可选择数字、字母、字符串、特殊字符等选项。

后面还可以设定密码的长度。

WPA密码的长度是8-63位。

设好以后点击下面的开始可以破解WPA密码了。

注：CAIN的WEP和WPA破解速度非常慢，远不如aircrack-ng。

其破解的实际意义并不大。

另外在CAIN目录下Winrtgen文件夹里有个双击打开，是一个Rainbow Tables Generator，点击下面的五．Traceroute点击Traceroute出现下图所示。

可以看出到达目标主机所经过的节点的IP地址，所用时间等信息。

CCDU好像是思科路由器的什么东西，我也没用过。

六．无线网络这个是用于扫描无线网络并对无线路由器进行WEP破解的，和获得WPA握手包的。

打开无线网络以后如下图所示。

大家可以看到WPA-PSK验证，获得了验证包后可以直接发送到破解器进行密码破解，虾米还有WEP注入支持无客户端的破解。

但是这些需要AirPcap网卡的支持，这种网卡国内比较少，国外的价格也在1500RMB左右。

附录HTTPS中双向认证SSL 协议的具体过程：①浏览器发送一个连接请求给安全服务器。

②服务器将自己的证书，以及同证书相关的信息发送给客户浏览器。

③客户浏览器检查服务器送过来的证书是否是由自己信赖的 CA 中心所签发的。

如果是，就继续执行协议；如果不是，客户浏览器就给客户一个警告消息：警告客户这个证书不是可以信赖的，询问客户是否需要继续。

④接着客户浏览器比较证书里的消息，例如域名和公钥，与服务器刚刚发送的相关消息是否一致，如果是一致的，客户浏览器认可这个服务器的合法身份。

⑤服务器要求客户发送客户自己的证书。

收到后，服务器验证客户的证书，如果没有通过验证，拒绝连接；如果通过验证，服务器获得用户的公钥。

⑥客户浏览器告诉服务器自己所能够支持的通讯对称密码方案。

⑦服务器从客户发送过来的密码方案中，选择一种加密程度最高的密码方案，用客户的公钥加过密后通知浏览器。

⑧浏览器针对这个密码方案，选择一个通话密钥，接着用服务器的公钥加过密后发送给服务器。

⑨服务器接收到浏览器送过来的消息，用自己的私钥解密，获得通话密钥。

⑩服务器、浏览器接下来的通讯都是用对称密码方案，对称密钥是加过密的。