如何从 tcpdump pcap 结果中捕获密码答案

【问题标题】：How to capture password from tcpdump pcap result如何从 tcpdump pcap 结果中捕获密码
【发布时间】：2020-10-03 12:02:51
【问题描述】：

我使用 tcpdump 从 telnet 捕获数据。命令：

tcpdump -qns 0 -X -r output.pcap

现在我需要在捕获后获取纯密码，所以我尝试这样的命令

strings output.pcap

但此命令显示“登录名：”和“密码：”，但我没有看到数据。

是否可以在不使用wireshark等外部工具的情况下输出纯密码？

【问题讨论】：

尝试tcpflow 而不是tcpdump。类似tcpflow -C -r output.txt。
谢谢，但是可以只使用 tcpdump 命令吗？

标签： telnet tcpdump

【解决方案1】：

如果你想解析 pcap 文件，我推荐使用 tshark。这是一个示例：

捕获telnet tcp端口的命令：

tcpdump -i eth0 'port 23' -w output.pcap

提取第一个tcp流（0）并以ascii格式显示：

tshark -z follow,tcp,ascii,0 -P -r output.pcap

所以结果是：

        00000176  50 61 73 73 77 6f 72 64  3a                       Password :
0000002F  73                                                s
00000030  6f                                                o
00000031  6d                                                m
00000032  65                                                e
00000033  70                                                p
00000034  61                                                a
00000035  73                                                s
00000036  73                                                s
00000037  77                                                w
00000038  6f                                                o
00000039  72                                                r
0000003A  64                                                d
0000003B  0d 00                                             ..

所以通过一些简单的解析，就可以在那里找到密码。

或者您可以简单地将 tcpdupm 与 -A 或 -X 选项一起使用

tcpdump -A -r  output.pcap

tcpdump -X -r  output.pcap

【讨论】：

是否可以只使用tcpdump？我遇到了同样的问题。 tcpdump 输出中的 telnet 密码和用户名不可读。为什么它不能与tcpdump 一起使用而与tshark 一起使用？
嗯，你说得对，这是可能的，但是需要更多的解析，尤其是跟踪单个 tcp 连接更难。但是这样的东西应该可以工作： tcpdum -i eth0 'tcp port 23' -X
是的，你是对的 'sudo tcpdump -i eth0 'tcp port 23' -X' 有效。但是如何从 .pcap 文件中读取以获得相同的输出呢？
根据手册 (tcpdump.org/manpages/tcpdump.1.html) 选项 -r 在这种情况下应该有帮助，所以像这样 tcpdump -r out.dump 'tcp port 23' -X
是的，谢谢，我也找到了解决方案：sudo tcpdump -A -r .pcap | less - 请将其添加到您的答案中。