一、WSockExpert简单介绍
         WSockExpert是一个抓包工具,它能够用来监视和截获指定进程网络数据的传输,对測试站点时非常实用。在黑客的手中,它经常被用来改动网络发送和接收数据,利用它能够协助完毕非常多网页脚本入侵工作。
        
WSockExpert的使用原理:当指定某个进程后,WSockExpert就会在后台自己主动监视记录该进程通过网络接收和传送的全部数据。在进行网页脚
本攻击时,我们经常会利用到用户验证漏洞、Cookie构造等手段,在使用这些入侵手段时,我们先用WSockExpert截获站点与本机的交换数据,然
后改动截获到的网络交换数据,将伪造的数据包再次提交发送给站点进行脚本入侵,从而完毕攻击的过程。
    二、WSockExpert的使用
         WSockExpert的使用很easy,软件执行后界面如图1所看到的:

点击工具栏上的“打开”button打开监视进程选择对话框(如图2):

在当中找到须要监视的进程后,点击左边的加号button,展开后选择须要监视的进程就可以。以监视IE浏览器网络数据为例,
能够在打开的对话窗体中找到进程项目名“iexplorer.exe”并展开,在其下选择正在登录的网页名称,比如“搜狐通行证-搜狐 -
Microsoft Internet
Explorer”的进程。选择该进程后,点击对话框中的“Open”button,返回主界面開始对本机与“搜狐通行证”站点的数据交换进行监控。假设点击对话
框中的“Refresh”button的话,能够刷新列表中的进程项目名。
         在主界面的上部窗体中,将即时显示本地主机与远程站点进行的每一次数据交换(如图3)。

能够从“Status”中看到此次数据交换是发送或接
收的状态,并可在“PacketsHex”列中看到交换数据的十六进制代码;在“PacketsText”中显示的是十六进制代码转换过来的信息。从
“Address”列中能够查看到每次数据交换经过了多少次IP地址传递与转换,并可查看到远程主机的IP地址。
         点击窗体中的某次数据交换,在下方的窗体中能够看到具体的转换后的交换数据信息,相似:
GET /freemail/030814/c.gif HTTP/1.1  
Accept: */*  
Referer: http://passport.sohu.com/auth.jsp  
Accept-Language: zh-cn  
Accept-Encoding: gzip, deflate  
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Maxthon)  
Host: images.sohu.com  
Connection: Keep-Alive  
Cookie: SUV=0410082157007081; IPLOC=CN52; SITESERVER=ID=a936e6b07d96bcc24d5b8b59e9cf435a”
在捕获到的信息中比較重要的数据项目有:“GET
……”,该项表示与站点交换信息的方式;“Referer:”,表示WSE捕获到的数据提交网页,这在查找一些隐藏的登录网页时较为实用;以及远程主机名
“Host”、连接方式“Connetcion”等,当中的“Cookie”在构造伪装数据时一般都要用到。
        
在这里,我们捕获到的是password传送步骤的交换信息,在诸如发贴、文件上传等操作时,还能够捕获到的一些重要的信息,如“Content-Type:
image/gif”代表了上传的文件类型,而“Content-Length:”表示Cookie的数据长度;还有文件上传后的保存路径等等,总之不论什么
重要的隐藏数据交换都逃不脱你的眼睛。  
    小提示:此外在工具栏上还有“Filter”过滤button,能够对接收和发送的数据信息进行过滤保存与清除,在此就不做具体介绍了。
三、WSockExpert使用实例
         上面的基础介绍可能有点乏味,新手们可能并不知道该怎样应用WSockExpert,以下就结合前段时间的上传漏洞,为大家介绍一个WSockExpert协助入侵的实例。
    1.上传漏洞的简单原理
         傻瓜化的上传工具大家用过不少了,可是对于上传漏洞的原理,或许不一定非常了解。正是因为缺乏对入侵原理的了解,所以大家在利用上传漏洞时经常不可以成功,因此先给大家简单的讲述一下入侵的原理。
         站点的上传漏洞是因为网页代码中的文件上传路径变量过滤不严造成的,在很多论坛的用户发帖页面中存在这种上传Form(如图4),其网页编程代码为:
<form action="user_upfile.asp" ...>  
       <input type="hidden" name="filepath" value="UploadFile">  
       <input type="file" name="file">  
       <input type="submit" name="Submit" value="上传" class="login_btn">  
</form>”

在当中“filepath”是文件上传路径变量,因为
网页编写者未对该变量进行不论什么过滤,因此用户能够随意改动该变量值。在网页编程语言中有一个特别的截止符"/0",该符号的作用是通知网页server中止后面
的数据接收。利用该截止符可们能够又一次构造filepath,比如正常的上传路径是:
http://www.***.com/bbs/uploadface/200409240824.jpg
可是当我们使用“/0”构造filepath为
这样当server接收filepath数据时,检測到newmm.asp后面的/0后理解为filepath的数据就结束了,这样我们上传的文件就被保存成了:

http://www.***.com/newmm.asp

小提示:可能有人会想了,假设网页server在检測验证上传文件的格式时,碰到“/0”就截止,那么不就出现文件上传类型不符的错误了吗?事实上在检測验证上传文件的格式时,系统是从filepath的右边向左边读取数据的,因此它首先检測到的是“.jpg”,当然就不会报错了。
         利用这个上传漏洞就能够随意上传如.ASP的网页木马,然后连接上传的网页就可以控制该站点系统啦。
2.WSE与NC结合,攻破DvSP2
        
很多站点都存在着上传漏洞,如动网、天意商务网、飞龙文章系统、惊云下载等,因为上传漏洞的危害严重,所以各种站点都纷纷採取了保护措施。可是因为网页编
程人员在安全知识方面的缺乏,因此非常多站点都仅仅是简单的在代码中加了几个“hidden”变量进行保护。这一招对桂林老兵之类的漏洞利用工具是实用的,也
是非常多新手利用上传漏洞不成功的原理。只是在WSockExpert的面前,它们就无能为力了。在这里以入侵“DvSP2云林全插件美化版”站点为例介绍
一个入侵的全过程:
         (1)在Google或百度中输入关键词“Copyright
xdong.Net”进行搜索,将会得到大量使用“DvSP2云林全插件美化版”建立的站点。这里我挑选了“http://ep***.com/dl
/viovi/20050709/bbs/index.asp”作为攻击目标。
         注冊并登录论坛,选择发帖,然后在文件上传路径中浏览选择我们要上传的ASP网页木马(如图5)。

(2)打开WSockExpert開始监视与此网页进行的数据交换,回到网页中点击“上传”button,将会报错提示文件
类型不符。不用管它,回到WSockExpert中找到“ID”为3和4的这两行数据,将它们复制并粘贴到一个新建的TXT文本文件里。打开此文本文件,
在当中找到“filename="D:/冰狐浪子微型ASP后门/asp.asp"”,改为“filename="D:/冰狐浪子微型ASP后门
/asp.asp .jpg"”(如图6)。

小提示:注意在“.jpg”前有一个半角空格在,因为添加了“ .jpg”5个字符,所以要将Cookie的长度“Content-Length: 678”改为“Content-Length: 683”。然后保存此文件为“test.txt”。
         (3)用UltraEdit32打开刚才保存的“test.txt”文件,打到“filename="D:/冰狐浪子微型ASP后门/asp.asp .jpg"”,把空格相应的十六进制代码20改为00。然后再次保存文本(如图7)。

(4)打开命令窗体,在当中输入“nc epu***.com
80<test.txt”,非常快提示提交成功,并显示文件上传后的路径为“http://ep***.com/dl/viovi/20050709
/bbs/asp.asp”。打开冰狐浪子client,输入网页木马链接地址后就可以对站点进行控制了(如图8)。

提醒大家的是,这样的入侵方式对付很多存在上传漏洞的站点都是很有效的,如文中提到的多

最后要提醒大家的是,这样的入侵方式对付很多存在上传漏洞的站点都是非常有效的,如文中提到的多种站点系统。其利用原理都是同样的,方法大同小异而已。而WSockExpert的使用方法也不仅止于上传漏洞入侵,在非常多场合都是我们入侵分析的好帮手

WSockExpert[抓包工具]的更多相关文章

  1. Jmeter实现登录bugfree、新建bug、解决bug脚本(抓包工具实现)

    环境 Chrome jmeter3.1 fiddler4 win7 32位 Linux CentOs6.4 bugfree3.0.1 链接:http://pan.baidu.com/s/1gfHpbp ...

  2. 抓包工具Wireshark过滤器

    抓包工具WireShark分为两种过滤器: 捕捉过滤器(CaptureFilters) 显示过滤器(DisplayFilters) 捕捉过虑器语法: Protocol  Direction  Host ...

  3. 跨平台网络抓包工具-Microsoft Message Analyzer

    Microsoft Message Analyzer (MMA 2013)是微软最受欢迎的Netmon的最新版本. 在Netmon网络跟踪和排除故障功能的基础上提供了更强大的跨平台网络分析追踪能力.园 ...

  4. Microsoft Message Analyzer (微软消息分析器,“网络抓包工具 - Network Monitor”的替代品)官方正式版现已发布

    来自官方日志的喜悦 被誉为全新开始的消息分析器时代,由MMA为您开启,博客原文写的很激动,大家可以点击这里浏览:http://blogs.technet.com/b/messageanalyzer/a ...

  5. 网络抓包工具-Wireshark学习资料

    wireshark一个非常牛逼的网络抓包工具.转载一系列博文 一站式学习Wireshark(一):Wireshark基本用法 一站式学习Wireshark(二):应用Wireshark观察基本网络协议 ...

  6. Fiddler 抓包工具总结

    阅读目录 1. Fiddler 抓包简介 1). 字段说明 2). Statistics 请求的性能数据分析 3). Inspectors 查看数据内容 4). AutoResponder 允许拦截制 ...

  7. Wireshark抓包工具

    首先下载并安装Wireshark软件,最好选择中文版,因为会使你用的更顺手. 安装完毕之后,双击打开Wireshark软件,主界面还是比较清晰明了的,可是怎么用还是稀里糊涂的吧. 点击菜单栏红圈中的选 ...

  8. 抓包工具fiddler

    具体的可以看这个链接,后来补充了些东西,cnblog复制图片太麻烦了 http://note.youdao.com/yws/public/redirect/share?id=37f8556270b44 ...

  9. charles抓包工具的中文乱码解决方法

    charles是 MAC上最好用的抓包工具.charles 网上的参考文档已经很多,我就不再赘述啦.只是说说我在安装过程遇到的问题和解决方法,仅供参考. charles抓包的数据中的中文内容显示乱码, ...

随机推荐

  1. 姿势体系结构的详细解释 -- C

    我基本上总结出以下4部分: 1.问题的足迹大小. 2.字节对齐问题. 3.特别保留位0. 4.这种结构被存储在存储器中的位置. #include <stdio.h> #include &l ...

  2. Objective-C路成魔【2-Objective-C 规划】

    郝萌主倾心贡献,尊重作者的劳动成果,请勿转载. 假设文章对您有所帮助,欢迎给作者捐赠,支持郝萌主,捐赠数额任意,重在心意^_^ 我要捐赠: 点击捐赠 Cocos2d-X源代码下载:点我传送 编译执行O ...

  3. CVE-2014-4113:飓风熊猫(HURRICANE PANDA)Win64bit提起权0day破绽

    飓风熊猫被觉得是原产于中国.主要针对基础设施公司的先进攻击者.我们知道它们除了拥有0day漏洞外.还有其它的三种本地特权提升漏洞.我们知道飓风熊猫使用的是"ChinaChopper" ...

  4. SQL Server 2005中的CHECKSUM功能

    原文:SQL Server 2005中的CHECKSUM功能 转自此处 页面 checksum 是SQL2005的新功能,提供了一种比残缺页检测强大的机制检测IO方面的损坏.以下是详细描述: 页面 C ...

  5. Android开发人员官方站点文档 - 国内踏得网镜像

    Android Developer 安卓开发人员官方站点无法正常訪问.即使FQ因为网络原因依旧訪问缓慢. 故整理相关字体.脚本.样式.页面资源,在踏得网server上建立了本地镜像.初始镜像时间201 ...

  6. hibernate学习笔记(1)hibernate基本步骤

    hibernate基本步骤 1.创hibernate置对象 Configuration config = newConfiguration(); config.configure("hibe ...

  7. 7-days-asp-dotnet-mvc-day1

    目录 第 1 天 第 2 天 第 3 天 第 4 天 第 5 天 第 6 天 第 7 天 0. 前言 今天是开心的一天.因为我们终于来到了系列学习的最后一节.我相信你喜欢之前的课程,并从中学到了许多. ...

  8. C# LDAP 管理(创建新用户)

    今天用C#实现了一套LDAP域账号的创建和查询,感受挺多. 算是第一次接触LDAP吧,之前曾经做了一个登录的验证,就是查询功能,那个相对比较简单,用到了一个方法就搞定了. 这次的需求是要用编程的方式创 ...

  9. Java中间(三十五)-----Java详细设置(一个):请指定初始容量设置

    集合是我们在Java编程中使用很广泛的,它就像大海,海纳百川,像万能容器,盛装万物.并且这个大海,万能容器还能够无限变大(假设条件同意). 当这个海.容器的量变得很大的时候,它的初始容量就会显得很重要 ...

  10. Binary Tree Maximum Path Sum [leetcode] dp

    a(i):在节点i由于单边路径的最大结束 b(i):在节点i路径和 a(i) = max{ i->val, i->val + max{a(i->left), a(i->righ ...