Как увидеть пароль (или хэш для дальнейшего изучения), под которым пытаются логиниться на мой микротик?

Question

[brar]

login failure for user admin from bla-bla-bla via winbox

В настройках топиков (system - logging) не нашел ничего, чтобы можно было добавть для дебага).

Answer 1

[Denis]

Через логи скорее всего никак, но можно через встроенный снифер, tools->packet sniffer, задаем порт 8291, если нужно, настраиваем стримминг и/или другие параметры (напр ip/mac атакующего) и вперед.

Comments

[Denis]

poisons, ясен пень, что передавать пасс в плейн техт в 2к20 станет только очень нездоровый человек, но автор же спрашивал "для дальнейшего изучения", а так 100% что там даже не пароль, а соль им зашифрованная.

[brar]

poisons, проверил, всё так и есть.
Мало того, с версии 45 даже из бэкапа не вытищить пароли пользователей с помощью ранее рабочего инструмента:
https://github.com/BigNerd95/RouterOS-Backup-Tools...

Хэши и соли.

Answer 2

[Keffer]

И не найдешь. Все это специально закрыто от мамкиных хакеров. Никакого дебага там нет.

Answer 3

[SagePtr]

Вероятнее всего, перебирают стандартные комбинации вроде admin:admin
Разные пароли перебирать обычно нет смысла (долго и не гарантируется результат), если это не целенаправленная атака конкретно на вас. Гораздо проще отсканировать все адреса сети на предмет роутеров на них и перебрать на каждом найденном стандартные комбинации, которых небольшое ограниченное количество. Ну и может также самые частые пароли вроде password и 123456.