WSockExpert[抓包工具]

一、WSockExpert简单介绍
         WSockExpert是一个抓包工具，它能够用来监视和截获指定进程网络数据的传输，对測试站点时非常实用。在黑客的手中，它经常被用来改动网络发送和接收数据，利用它能够协助完毕非常多网页脚本入侵工作。
         WSockExpert的使用原理：当指定某个进程后，WSockExpert就会在后台自己主动监视记录该进程通过网络接收和传送的全部数据。在进行网页脚 本攻击时，我们经常会利用到用户验证漏洞、Cookie构造等手段，在使用这些入侵手段时，我们先用WSockExpert截获站点与本机的交换数据，然 后改动截获到的网络交换数据，将伪造的数据包再次提交发送给站点进行脚本入侵，从而完毕攻击的过程。
    二、WSockExpert的使用
         WSockExpert的使用很easy，软件执行后界面如图1所看到的：

点击工具栏上的“打开”button打开监视进程选择对话框（如图2）：

在当中找到须要监视的进程后，点击左边的加号button，展开后选择须要监视的进程就可以。以监视IE浏览器网络数据为例， 能够在打开的对话窗体中找到进程项目名“iexplorer.exe”并展开，在其下选择正在登录的网页名称，比如“搜狐通行证-搜狐 - Microsoft Internet Explorer”的进程。选择该进程后，点击对话框中的“Open”button，返回主界面開始对本机与“搜狐通行证”站点的数据交换进行监控。假设点击对话 框中的“Refresh”button的话，能够刷新列表中的进程项目名。
         在主界面的上部窗体中，将即时显示本地主机与远程站点进行的每一次数据交换（如图3）。

能够从“Status”中看到此次数据交换是发送或接 收的状态，并可在“PacketsHex”列中看到交换数据的十六进制代码；在“PacketsText”中显示的是十六进制代码转换过来的信息。从 “Address”列中能够查看到每次数据交换经过了多少次IP地址传递与转换，并可查看到远程主机的IP地址。
         点击窗体中的某次数据交换，在下方的窗体中能够看到具体的转换后的交换数据信息，相似：
GET /freemail/030814/c.gif HTTP/1.1  
Accept: */*  
Referer: http://passport.sohu.com/auth.jsp  
Accept-Language: zh-cn  
Accept-Encoding: gzip, deflate  
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Maxthon)  
Host: images.sohu.com  
Connection: Keep-Alive  
Cookie: SUV=0410082157007081; IPLOC=CN52; SITESERVER=ID=a936e6b07d96bcc24d5b8b59e9cf435a”

在捕获到的信息中比較重要的数据项目有：“GET ……”，该项表示与站点交换信息的方式；“Referer：”，表示WSE捕获到的数据提交网页，这在查找一些隐藏的登录网页时较为实用；以及远程主机名 “Host”、连接方式“Connetcion”等，当中的“Cookie”在构造伪装数据时一般都要用到。
         在这里，我们捕获到的是password传送步骤的交换信息，在诸如发贴、文件上传等操作时，还能够捕获到的一些重要的信息，如“Content-Type: image/gif”代表了上传的文件类型，而“Content-Length:”表示Cookie的数据长度；还有文件上传后的保存路径等等，总之不论什么 重要的隐藏数据交换都逃不脱你的眼睛。  
    小提示：此外在工具栏上还有“Filter”过滤button，能够对接收和发送的数据信息进行过滤保存与清除，在此就不做具体介绍了。
三、WSockExpert使用实例
         上面的基础介绍可能有点乏味，新手们可能并不知道该怎样应用WSockExpert，以下就结合前段时间的上传漏洞，为大家介绍一个WSockExpert协助入侵的实例。
    1.上传漏洞的简单原理
         傻瓜化的上传工具大家用过不少了，可是对于上传漏洞的原理，或许不一定非常了解。正是因为缺乏对入侵原理的了解，所以大家在利用上传漏洞时经常不可以成功，因此先给大家简单的讲述一下入侵的原理。
         站点的上传漏洞是因为网页代码中的文件上传路径变量过滤不严造成的，在很多论坛的用户发帖页面中存在这种上传Form（如图4），其网页编程代码为：
<form action="user_upfile.asp" ...>  
       <input type="hidden" name="filepath" value="UploadFile">  
       <input type="file" name="file">  
       <input type="submit" name="Submit" value="上传" class="login_btn">  
</form>”

在当中“filepath”是文件上传路径变量，因为 网页编写者未对该变量进行不论什么过滤，因此用户能够随意改动该变量值。在网页编程语言中有一个特别的截止符"/0"，该符号的作用是通知网页server中止后面 的数据接收。利用该截止符可们能够又一次构造filepath，比如正常的上传路径是：
http://www.***.com/bbs/uploadface/200409240824.jpg

可是当我们使用“/0”构造filepath为

http://www.***.com/newmm.asp/0/200409240824.jpg

这样当server接收filepath数据时，检測到newmm.asp后面的/0后理解为filepath的数据就结束了，这样我们上传的文件就被保存成了：

http://www.***.com/newmm.asp

    小提示：可能有人会想了，假设网页server在检測验证上传文件的格式时，碰到“/0”就截止，那么不就出现文件上传类型不符的错误了吗？事实上在检測验证上传文件的格式时，系统是从filepath的右边向左边读取数据的，因此它首先检測到的是“.jpg”，当然就不会报错了。
         利用这个上传漏洞就能够随意上传如.ASP的网页木马，然后连接上传的网页就可以控制该站点系统啦。
2.WSE与NC结合，攻破DvSP2
         很多站点都存在着上传漏洞，如动网、天意商务网、飞龙文章系统、惊云下载等，因为上传漏洞的危害严重，所以各种站点都纷纷採取了保护措施。可是因为网页编 程人员在安全知识方面的缺乏，因此非常多站点都仅仅是简单的在代码中加了几个“hidden”变量进行保护。这一招对桂林老兵之类的漏洞利用工具是实用的，也 是非常多新手利用上传漏洞不成功的原理。只是在WSockExpert的面前，它们就无能为力了。在这里以入侵“DvSP2云林全插件美化版”站点为例介绍 一个入侵的全过程：
         （1）在Google或百度中输入关键词“Copyright xdong.Net”进行搜索，将会得到大量使用“DvSP2云林全插件美化版”建立的站点。这里我挑选了“http://ep***.com/dl /viovi/20050709/bbs/index.asp”作为攻击目标。
         注冊并登录论坛，选择发帖，然后在文件上传路径中浏览选择我们要上传的ASP网页木马（如图5）。

（2）打开WSockExpert開始监视与此网页进行的数据交换，回到网页中点击“上传”button，将会报错提示文件 类型不符。不用管它，回到WSockExpert中找到“ID”为3和4的这两行数据，将它们复制并粘贴到一个新建的TXT文本文件里。打开此文本文件， 在当中找到“filename="D:/冰狐浪子微型ASP后门/asp.asp"”，改为“filename="D:/冰狐浪子微型ASP后门 /asp.asp .jpg"”（如图6）。

小提示：注意在“.jpg”前有一个半角空格在，因为添加了“ .jpg”5个字符，所以要将Cookie的长度“Content-Length: 678”改为“Content-Length: 683”。然后保存此文件为“test.txt”。
         （3）用UltraEdit32打开刚才保存的“test.txt”文件，打到“filename="D:/冰狐浪子微型ASP后门/asp.asp .jpg"”，把空格相应的十六进制代码20改为00。然后再次保存文本（如图7）。

（4）打开命令窗体，在当中输入“nc epu***.com 80<test.txt”，非常快提示提交成功，并显示文件上传后的路径为“http://ep***.com/dl/viovi/20050709 /bbs/asp.asp”。打开冰狐浪子client，输入网页木马链接地址后就可以对站点进行控制了（如图8）。

提醒大家的是，这样的入侵方式对付很多存在上传漏洞的站点都是很有效的，如文中提到的多

最后要提醒大家的是，这样的入侵方式对付很多存在上传漏洞的站点都是非常有效的，如文中提到的多种站点系统。其利用原理都是同样的，方法大同小异而已。而WSockExpert的使用方法也不仅止于上传漏洞入侵，在非常多场合都是我们入侵分析的好帮手