最近一直玩内网抓用户账户信息，终于略有小成。。好了废话不多说，各位看官跟我往下走。。

wireshark，这款软件大家应该都知道，我就不在叙述了，不知道的自己百度。总之这是款神器。。

这里我们需要选择：抓包-网络接口。

这里我已经给大家技巧了，大家不知道那个接口有效那么就看那个接口有数据包跳动，跳动的就是有效的。。

这里的过滤如果大家不选择的话那么就会嗅探整个内网所有的流量，这里我使用ip.src==192.168.1.109 && http进行嗅探，意思就是嗅探192.168.1.109机器的http数据。

做完以上几步咱们就可以慢慢等待了。。。

出于方便截图我就直接拿我本机做试验了。。

下面随便打开一个网站，以本人xss盲打平台为例。

打开IE正常登陆，仔细观看wireshark数据跳动。

登陆成功后wireshark就可以截取到明文的账号密码以及Cookie信息了。。

数据很多，大家可以找红色辨识的数据，然后挑选pass，houtai，admin等关键词进行数据筛选，其实wireshark可以自动筛选，但是我还是比较喜欢手工，这样更帅气一点。。网站后台登陆地址不同，wireshark嗅探到的关键词也不一样这个需要大家自己动脑子去想办法找。。不过一个一个找确实很累。总之wireshark抓取内网明文密码还是可行的。。

============

大家还可以自己伪造wifi然后拿wireshark进行嗅探，伪造AP+wireshark嗅探乌云有大牛发过思路。

===============

wireshark手动抓包过滤表达式的写法

有时候手工抓包来获取密码，大家有没有好的过滤表达式？目前我查到的有：
POP过滤规则
pop.request.command == "USER" || pop.request.command == "PASS"
IMAP过滤规则
imap.request contains "login"
SMTP过滤规则=
smtp.req.command == "AUTH"
另附一个过滤表：

http://www.docin.com/p-56721318.html

LOFTER：r00tshell™-Team http://r00tshell.lofter.com/post/3d2f21_611ecce