WSockExpert[抓包工具]

一、WSockExpert簡介
         WSockExpert是一個抓包工具，它可以用來監視和截獲指定進程網絡數據的傳輸，對測試網站時非常有用。在黑客的手中，它常常被用來修改網絡發送和接收數據，利用它可以協助完成很多網頁腳本入侵工作。
         WSockExpert的使用原理：當指定某個進程後，WSockExpert就會在後臺自動監視記錄該進程通過網絡接收和傳送的所有數據。在進行網頁腳 本攻擊時，我們常常會利用到用戶驗證漏洞、Cookie構造等手段，在使用這些入侵手段時，我們先用WSockExpert截獲網站與本機的交換數據，然 後修改截獲到的網絡交換數據，將僞造的數據包再次提交發送給網站進行腳本入侵，從而完成攻擊的過程。
    二、WSockExpert的使用
         WSockExpert的使用非常簡單，軟件運行後界面如圖1所示：

點擊工具欄上的“打開”按鈕打開監視進程選擇對話框（如圖2）：

在其中找到需要監視的進程後，點擊左邊的加號按鈕，展開後選擇需要監視的進程即可。以監視IE瀏覽器網絡數據爲例， 可以在打開的對話窗口中找到進程項目名“iexplorer.exe”並展開，在其下選擇正在登錄的網頁名稱，例如“搜狐通行證-搜狐 - Microsoft Internet Explorer”的進程。選擇該進程後，點擊對話框中的“Open”按鈕，返回主界面開始對本機與“搜狐通行證”網站的數據交換進行監控。如果點擊對話 框中的“Refresh”按鈕的話，可以刷新列表中的進程項目名。
         在主界面的上部窗口中，將即時顯示本地主機與遠程網站進行的每一次數據交換（如圖3）。

可以從“Status”中看到此次數據交換是發送或接 收的狀態，並可在“PacketsHex”列中看到交換數據的十六進制代碼；在“PacketsText”中顯示的是十六進制代碼轉換過來的信息。從 “Address”列中可以查看到每次數據交換經過了多少次IP地址傳遞與轉換，並可查看到遠程主機的IP地址。
         點擊窗口中的某次數據交換，在下方的窗口中可以看到詳細的轉換後的交換數據信息，類似：
GET /freemail/030814/c.gif HTTP/1.1  
Accept: */*  
Referer: http://passport.sohu.com/auth.jsp  
Accept-Language: zh-cn  
Accept-Encoding: gzip, deflate  
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Maxthon)  
Host: images.sohu.com  
Connection: Keep-Alive  
Cookie: SUV=0410082157007081; IPLOC=CN52; SITESERVER=ID=a936e6b07d96bcc24d5b8b59e9cf435a”

在捕獲到的信息中比較重要的數據項目有：“GET ……”，該項表示與網站交換信息的方式；“Referer：”，表示WSE捕獲到的數據提交網頁，這在查找一些隱藏的登錄網頁時較爲有用；以及遠程主機名 “Host”、連接方式“Connetcion”等，其中的“Cookie”在構造僞裝數據時一般都要用到。
         在這裏，我們捕獲到的是密碼傳送步驟的交換信息，在諸如發貼、文件上傳等操作時，還可以捕獲到的一些重要的信息，如“Content-Type: image/gif”代表了上傳的文件類型，而“Content-Length:”表示Cookie的數據長度；還有文件上傳後的保存路徑等等，總之任何 重要的隱藏數據交換都逃不脫你的眼睛。  
    小提示：此外在工具欄上還有“Filter”過濾按鈕，可以對接收和發送的數據信息進行過濾保存與清除，在此就不做詳細介紹了。
三、WSockExpert使用實例
         上面的基礎介紹可能有點乏味，新手們可能並不知道該如何應用WSockExpert，下面就結合前段時間的上傳漏洞，爲大家介紹一個WSockExpert協助入侵的實例。
    1.上傳漏洞的簡單原理
         傻瓜化的上傳工具大家用過不少了，但是對於上傳漏洞的原理，也許不一定很瞭解。正是由於缺乏對入侵原理的瞭解，所以大家在利用上傳漏洞時常常不能夠成功，因此先給大家簡單的講述一下入侵的原理。
         網站的上傳漏洞是由於網頁代碼中的文件上傳路徑變量過濾不嚴造成的，在許多論壇的用戶發帖頁面中存在這樣的上傳Form（如圖4），其網頁編程代碼爲：
<form action="user_upfile.asp" ...>  
       <input type="hidden" name="filepath" value="UploadFile">  
       <input type="file" name="file">  
       <input type="submit" name="Submit" value="上傳" class="login_btn">  
</form>”

在其中“filepath”是文件上傳路徑變量，由於 網頁編寫者未對該變量進行任何過濾，因此用戶可以任意修改該變量值。在網頁編程語言中有一個特別的截止符"/0"，該符號的作用是通知網頁服務器中止後面 的數據接收。利用該截止符可們可以重新構造filepath，例如正常的上傳路徑是：
http://www.***.com/bbs/uploadface/200409240824.jpg

但是當我們使用“/0”構造filepath爲

http://www.***.com/newmm.asp/0/200409240824.jpg

這樣當服務器接收filepath數據時，檢測到newmm.asp後面的/0後理解爲filepath的數據就結束了，這樣我們上傳的文件就被保存成了：

http://www.***.com/newmm.asp

    小提示：可能有人會想了，如果網頁服務器在檢測驗證上傳文件的格式時，碰到“/0”就截止，那麼不就出現文件上傳類型不符的錯誤了嗎？其實在檢測驗證上傳文件的格式時，系統是從filepath的右邊向左邊讀取數據的，因此它首先檢測到的是“.jpg”，當然就不會報錯了。
         利用這個上傳漏洞就可以任意上傳如.ASP的網頁木馬，然後連接上傳的網頁即可控制該網站系統啦。
2.WSE與NC結合，攻破DvSP2
         許多網站都存在着上傳漏洞，如動網、天意商務網、飛龍文章系統、驚雲下載等，由於上傳漏洞的危害嚴重，所以各種網站都紛紛採取了保護措施。但是由於網頁編 程人員在安全知識方面的缺乏，因此很多網站都只是簡單的在代碼中加了幾個“hidden”變量進行保護。這一招對桂林老兵之類的漏洞利用工具是有用的，也 是很多新手利用上傳漏洞不成功的原理。不過在WSockExpert的面前，它們就無能爲力了。在這裏以入侵“DvSP2雲林全插件美化版”網站爲例介紹 一個入侵的全過程：
         （1）在Google或百度中輸入關鍵詞“Copyright xdong.Net”進行搜索，將會得到大量使用“DvSP2雲林全插件美化版”建立的網站。這裏我挑選了“http://ep***.com/dl /viovi/20050709/bbs/index.asp”作爲攻擊目標。
         註冊並登錄論壇，選擇發帖，然後在文件上傳路徑中瀏覽選擇我們要上傳的ASP網頁木馬（如圖5）。

（2）打開WSockExpert開始監視與此網頁進行的數據交換，回到網頁中點擊“上傳”按鈕，將會報錯提示文件 類型不符。不用管它，回到WSockExpert中找到“ID”爲3和4的這兩行數據，將它們複製並粘貼到一個新建的TXT文本文件中。打開此文本文件， 在其中找到“filename="D:/冰狐浪子微型ASP後門/asp.asp"”，改爲“filename="D:/冰狐浪子微型ASP後門 /asp.asp .jpg"”（如圖6）。

小提示：注意在“.jpg”前有一個半角空格在，由於增加了“ .jpg”5個字符，所以要將Cookie的長度“Content-Length: 678”改爲“Content-Length: 683”。然後保存此文件爲“test.txt”。
         （3）用UltraEdit32打開剛纔保存的“test.txt”文件，打到“filename="D:/冰狐浪子微型ASP後門/asp.asp .jpg"”，把空格對應的十六進制代碼20改爲00。然後再次保存文本（如圖7）。

（4）打開命令窗口，在其中輸入“nc epu***.com 80<test.txt”，很快提示提交成功，並顯示文件上傳後的路徑爲“http://ep***.com/dl/viovi/20050709 /bbs/asp.asp”。打開冰狐浪子客戶端，輸入網頁木馬鏈接地址後即可對網站進行控制了（如圖8）。

提醒大家的是，這種入侵方式對付許多存在上傳漏洞的網站都是非常有效的，如文中提到的多

最後要提醒大家的是，這種入侵方式對付許多存在上傳漏洞的網站都是非常有效的，如文中提到的多種網站系統。其利用原理都是相同的，方法大同小異而已。而WSockExpert的用法也不僅止於上傳漏洞入侵，在很多場合都是我們入侵分析的好幫手