步骤:
1.登陆ftp服务器,执行命令:
tcpdump -i wlan0 -w password.bin -c 500 port 21
2.有人登陆后,执行:
tcpdump -v -XX -r password.bin > password.ascii
其中,-i选择监听的网络界面,
-w将数据包写入文件中,(write the raw packet to file),即将原始数据写入文件,不进行解析
-v 产生详细的输出 eg. ttl id length ,当与-w配合使用时,每10秒钟报告一次捕获的包的数量
-vv 产生更详细的输出
-vvv
-c指定接收的数据包数量
-X 以hex和ascii格式显示data内容
-XX以hex和ascii格式显示data内容,同时还包含了链路层的头部信息
-r读取tcpdump文件,与-w配合使用
在password.ascii文件中查到如下内容:
14:37:48.376923 IP (tos 0x10, ttl 64, id 3949, offset 0, flags [DF], proto TCP (6), length 62) 70 localhost.35399 > localhost.ftp: Flags [P.], cksum 0xfe32 (incorrect -> 0xd1cd), seq 1:11, ack 21, win 257, options [nop,nop,TS val 4482829 ecr 4481920], length 10 71 0x0000: 4510 003e 0f6d 4000 4006 2d3b 7f00 0001 E..>.m@.@.-;.... 72 0x0010: 7f00 0001 8a47 0015 3755 6c16 cce2 a393 .....G..7Ul..... 73 0x0020: 8018 0101 fe32 0000 0101 080a 0044 670d .....2.......Dg. 74 0x0030: 0044 6380 5553 4552 2066 7470 0d0a .Dc.USER.ftp.. 95 14:37:49.505547 IP (tos 0x10, ttl 64, id 3951, offset 0, flags [DF], proto TCP (6), length 62) 96 localhost.35399 > localhost.ftp: Flags [P.], cksum 0xfe32 (incorrect -> 0xc40b), seq 11:21, ack 55, win 257, options [nop,nop,TS val 4483111 ecr 4482829], length 10 97 0x0000: 4510 003e 0f6f 4000 4006 2d39 7f00 0001 E..>.o@.@.-9.... 98 0x0010: 7f00 0001 8a47 0015 3755 6c20 cce2 a3b5 .....G..7Ul..... 99 0x0020: 8018 0101 fe32 0000 0101 080a 0044 6827 .....2.......Dh' 100 0x0030: 0044 670d 5041 5353 2066 7470 0d0a .Dg.PASS.ftp..
可以得到用户名是ftp,密码是ftp