WSockExpert[抓包工具]

一、WSockExpert簡單介紹
         WSockExpert是一個抓包工具，它能夠用來監視和截獲指定進程網絡數據的傳輸，對測試站點時非常實用。在黑客的手中，它經常被用來改動網絡發送和接收數據，利用它能夠協助完畢非常多網頁腳本入侵工作。
         WSockExpert的使用原理：當指定某個進程后，WSockExpert就會在后台自己主動監視記錄該進程通過網絡接收和傳送的全部數據。在進行網頁腳 本攻擊時，我們經常會利用到用戶驗證漏洞、Cookie構造等手段，在使用這些入侵手段時，我們先用WSockExpert截獲站點與本機的交換數據，然 后改動截獲到的網絡交換數據，將偽造的數據包再次提交發送給站點進行腳本入侵，從而完畢攻擊的過程。
    二、WSockExpert的使用
         WSockExpert的使用很easy，軟件執行后界面如圖1所看到的：

點擊工具欄上的“打開”button打開監視進程選擇對話框（如圖2）：

在當中找到須要監視的進程后，點擊左邊的加號button，展開后選擇須要監視的進程就可以。以監視IE瀏覽器網絡數據為例， 能夠在打開的對話窗體中找到進程項目名“iexplorer.exe”並展開，在其下選擇正在登錄的網頁名稱，比如“搜狐通行證-搜狐 - Microsoft Internet Explorer”的進程。選擇該進程后，點擊對話框中的“Open”button，返回主界面開始對本機與“搜狐通行證”站點的數據交換進行監控。假設點擊對話 框中的“Refresh”button的話，能夠刷新列表中的進程項目名。
         在主界面的上部窗體中，將即時顯示本地主機與遠程站點進行的每一次數據交換（如圖3）。

能夠從“Status”中看到此次數據交換是發送或接 收的狀態，並可在“PacketsHex”列中看到交換數據的十六進制代碼；在“PacketsText”中顯示的是十六進制代碼轉換過來的信息。從 “Address”列中能夠查看到每次數據交換經過了多少次IP地址傳遞與轉換，並可查看到遠程主機的IP地址。
         點擊窗體中的某次數據交換，在下方的窗體中能夠看到具體的轉換后的交換數據信息，相似：
GET /freemail/030814/c.gif HTTP/1.1  
Accept: */*  
Referer: http://passport.sohu.com/auth.jsp  
Accept-Language: zh-cn  
Accept-Encoding: gzip, deflate  
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Maxthon)  
Host: images.sohu.com  
Connection: Keep-Alive  
Cookie: SUV=0410082157007081; IPLOC=CN52; SITESERVER=ID=a936e6b07d96bcc24d5b8b59e9cf435a”

在捕獲到的信息中比較重要的數據項目有：“GET ……”，該項表示與站點交換信息的方式；“Referer：”，表示WSE捕獲到的數據提交網頁，這在查找一些隱藏的登錄網頁時較為實用；以及遠程主機名 “Host”、連接方式“Connetcion”等，當中的“Cookie”在構造偽裝數據時一般都要用到。
         在這里，我們捕獲到的是password傳送步驟的交換信息，在諸如發貼、文件上傳等操作時，還能夠捕獲到的一些重要的信息，如“Content-Type: image/gif”代表了上傳的文件類型，而“Content-Length:”表示Cookie的數據長度；還有文件上傳后的保存路徑等等，總之不論什么 重要的隱藏數據交換都逃不脫你的眼睛。  
    小提示：此外在工具欄上還有“Filter”過濾button，能夠對接收和發送的數據信息進行過濾保存與清除，在此就不做具體介紹了。
三、WSockExpert使用實例
         上面的基礎介紹可能有點乏味，新手們可能並不知道該怎樣應用WSockExpert，以下就結合前段時間的上傳漏洞，為大家介紹一個WSockExpert協助入侵的實例。
    1.上傳漏洞的簡單原理
         傻瓜化的上傳工具大家用過不少了，可是對於上傳漏洞的原理，或許不一定非常了解。正是因為缺乏對入侵原理的了解，所以大家在利用上傳漏洞時經常不可以成功，因此先給大家簡單的講述一下入侵的原理。
         站點的上傳漏洞是因為網頁代碼中的文件上傳路徑變量過濾不嚴造成的，在很多論壇的用戶發帖頁面中存在這種上傳Form（如圖4），其網頁編程代碼為：
<form action="user_upfile.asp" ...>  
       <input type="hidden" name="filepath" value="UploadFile">  
       <input type="file" name="file">  
       <input type="submit" name="Submit" value="上傳" class="login_btn">  
</form>”

在當中“filepath”是文件上傳路徑變量，因為 網頁編寫者未對該變量進行不論什么過濾，因此用戶能夠隨意改動該變量值。在網頁編程語言中有一個特別的截止符"/0"，該符號的作用是通知網頁server中止后面 的數據接收。利用該截止符可們能夠又一次構造filepath，比如正常的上傳路徑是：
http://www.***.com/bbs/uploadface/200409240824.jpg

可是當我們使用“/0”構造filepath為

http://www.***.com/newmm.asp/0/200409240824.jpg

這樣當server接收filepath數據時，檢測到newmm.asp后面的/0后理解為filepath的數據就結束了，這樣我們上傳的文件就被保存成了：

http://www.***.com/newmm.asp

    小提示：可能有人會想了，假設網頁server在檢測驗證上傳文件的格式時，碰到“/0”就截止，那么不就出現文件上傳類型不符的錯誤了嗎？事實上在檢測驗證上傳文件的格式時，系統是從filepath的右邊向左邊讀取數據的，因此它首先檢測到的是“.jpg”，當然就不會報錯了。
         利用這個上傳漏洞就能夠隨意上傳如.ASP的網頁木馬，然后連接上傳的網頁就可以控制該站點系統啦。
2.WSE與NC結合，攻破DvSP2
         很多站點都存在着上傳漏洞，如動網、天意商務網、飛龍文章系統、驚雲下載等，因為上傳漏洞的危害嚴重，所以各種站點都紛紛採取了保護措施。可是因為網頁編 程人員在安全知識方面的缺乏，因此非常多站點都僅僅是簡單的在代碼中加了幾個“hidden”變量進行保護。這一招對桂林老兵之類的漏洞利用工具是實用的，也 是非常多新手利用上傳漏洞不成功的原理。只是在WSockExpert的面前，它們就無能為力了。在這里以入侵“DvSP2雲林全插件美化版”站點為例介紹 一個入侵的全過程：
         （1）在Google或百度中輸入關鍵詞“Copyright xdong.Net”進行搜索，將會得到大量使用“DvSP2雲林全插件美化版”建立的站點。這里我挑選了“http://ep***.com/dl /viovi/20050709/bbs/index.asp”作為攻擊目標。
         注冊並登錄論壇，選擇發帖，然后在文件上傳路徑中瀏覽選擇我們要上傳的ASP網頁木馬（如圖5）。

（2）打開WSockExpert開始監視與此網頁進行的數據交換，回到網頁中點擊“上傳”button，將會報錯提示文件 類型不符。不用管它，回到WSockExpert中找到“ID”為3和4的這兩行數據，將它們復制並粘貼到一個新建的TXT文本文件里。打開此文本文件， 在當中找到“filename="D:/冰狐浪子微型ASP后門/asp.asp"”，改為“filename="D:/冰狐浪子微型ASP后門 /asp.asp .jpg"”（如圖6）。

小提示：注意在“.jpg”前有一個半角空格在，因為添加了“ .jpg”5個字符，所以要將Cookie的長度“Content-Length: 678”改為“Content-Length: 683”。然后保存此文件為“test.txt”。
         （3）用UltraEdit32打開剛才保存的“test.txt”文件，打到“filename="D:/冰狐浪子微型ASP后門/asp.asp .jpg"”，把空格相應的十六進制代碼20改為00。然后再次保存文本（如圖7）。

（4）打開命令窗體，在當中輸入“nc epu***.com 80<test.txt”，非常快提示提交成功，並顯示文件上傳后的路徑為“http://ep***.com/dl/viovi/20050709 /bbs/asp.asp”。打開冰狐浪子client，輸入網頁木馬鏈接地址后就可以對站點進行控制了（如圖8）。

提醒大家的是，這樣的入侵方式對付很多存在上傳漏洞的站點都是很有效的，如文中提到的多

最后要提醒大家的是，這樣的入侵方式對付很多存在上傳漏洞的站點都是非常有效的，如文中提到的多種站點系統。其利用原理都是同樣的，方法大同小異而已。而WSockExpert的使用方法也不僅止於上傳漏洞入侵，在非常多場合都是我們入侵分析的好幫手