一、WSockExpert簡介
WSockExpert是一個抓包工具,它可以用來監視和截獲指定進程網絡數據的傳輸,對測試網站時非常有用。在黑客的手中,它常常被用來修改網絡發送和接收數據,利用它可以協助完成很多網頁腳本入侵工作。
WSockExpert的使用原理:當指定某個進程後,WSockExpert就會在後臺自動監視記錄該進程通過網絡接收和傳送的所有數據。在進行網頁腳
本攻擊時,我們常常會利用到用戶驗證漏洞、Cookie構造等手段,在使用這些入侵手段時,我們先用WSockExpert截獲網站與本機的交換數據,然
後修改截獲到的網絡交換數據,將僞造的數據包再次提交發送給網站進行腳本入侵,從而完成攻擊的過程。
二、WSockExpert的使用
WSockExpert的使用非常簡單,軟件運行後界面如圖1所示:
點擊工具欄上的“打開”按鈕打開監視進程選擇對話框(如圖2):
在其中找到需要監視的進程後,點擊左邊的加號按鈕,展開後選擇需要監視的進程即可。以監視IE瀏覽器網絡數據爲例,
可以在打開的對話窗口中找到進程項目名“iexplorer.exe”並展開,在其下選擇正在登錄的網頁名稱,例如“搜狐通行證-搜狐 -
Microsoft Internet
Explorer”的進程。選擇該進程後,點擊對話框中的“Open”按鈕,返回主界面開始對本機與“搜狐通行證”網站的數據交換進行監控。如果點擊對話
框中的“Refresh”按鈕的話,可以刷新列表中的進程項目名。
在主界面的上部窗口中,將即時顯示本地主機與遠程網站進行的每一次數據交換(如圖3)。
點擊窗口中的某次數據交換,在下方的窗口中可以看到詳細的轉換後的交換數據信息,類似:
GET /freemail/030814/c.gif HTTP/1.1
Accept: */*
Referer: http://passport.sohu.com/auth.jsp
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Maxthon)
Host: images.sohu.com
Connection: Keep-Alive
Cookie: SUV=0410082157007081; IPLOC=CN52; SITESERVER=ID=a936e6b07d96bcc24d5b8b59e9cf435a”
在這裏,我們捕獲到的是密碼傳送步驟的交換信息,在諸如發貼、文件上傳等操作時,還可以捕獲到的一些重要的信息,如“Content-Type: image/gif”代表了上傳的文件類型,而“Content-Length:”表示Cookie的數據長度;還有文件上傳後的保存路徑等等,總之任何 重要的隱藏數據交換都逃不脫你的眼睛。
小提示:此外在工具欄上還有“Filter”過濾按鈕,可以對接收和發送的數據信息進行過濾保存與清除,在此就不做詳細介紹了。
三、WSockExpert使用實例
上面的基礎介紹可能有點乏味,新手們可能並不知道該如何應用WSockExpert,下面就結合前段時間的上傳漏洞,爲大家介紹一個WSockExpert協助入侵的實例。
1.上傳漏洞的簡單原理
傻瓜化的上傳工具大家用過不少了,但是對於上傳漏洞的原理,也許不一定很瞭解。正是由於缺乏對入侵原理的瞭解,所以大家在利用上傳漏洞時常常不能夠成功,因此先給大家簡單的講述一下入侵的原理。
網站的上傳漏洞是由於網頁代碼中的文件上傳路徑變量過濾不嚴造成的,在許多論壇的用戶發帖頁面中存在這樣的上傳Form(如圖4),其網頁編程代碼爲:
<form action="user_upfile.asp" ...>
<input type="hidden" name="filepath" value="UploadFile">
<input type="file" name="file">
<input type="submit" name="Submit" value="上傳" class="login_btn">
</form>”
http://www.***.com/bbs/uploadface/200409240824.jpg
http://www.***.com/newmm.asp |
利用這個上傳漏洞就可以任意上傳如.ASP的網頁木馬,然後連接上傳的網頁即可控制該網站系統啦。
2.WSE與NC結合,攻破DvSP2
許多網站都存在着上傳漏洞,如動網、天意商務網、飛龍文章系統、驚雲下載等,由於上傳漏洞的危害嚴重,所以各種網站都紛紛採取了保護措施。但是由於網頁編 程人員在安全知識方面的缺乏,因此很多網站都只是簡單的在代碼中加了幾個“hidden”變量進行保護。這一招對桂林老兵之類的漏洞利用工具是有用的,也 是很多新手利用上傳漏洞不成功的原理。不過在WSockExpert的面前,它們就無能爲力了。在這裏以入侵“DvSP2雲林全插件美化版”網站爲例介紹 一個入侵的全過程:
(1)在Google或百度中輸入關鍵詞“Copyright xdong.Net”進行搜索,將會得到大量使用“DvSP2雲林全插件美化版”建立的網站。這裏我挑選了“http://ep***.com/dl /viovi/20050709/bbs/index.asp”作爲攻擊目標。
註冊並登錄論壇,選擇發帖,然後在文件上傳路徑中瀏覽選擇我們要上傳的ASP網頁木馬(如圖5)。
(2)打開WSockExpert開始監視與此網頁進行的數據交換,回到網頁中點擊“上傳”按鈕,將會報錯提示文件 類型不符。不用管它,回到WSockExpert中找到“ID”爲3和4的這兩行數據,將它們複製並粘貼到一個新建的TXT文本文件中。打開此文本文件, 在其中找到“filename="D:/冰狐浪子微型ASP後門/asp.asp"”,改爲“filename="D:/冰狐浪子微型ASP後門 /asp.asp .jpg"”(如圖6)。
小提示:注意在“.jpg”前有一個半角空格在,由於增加了“ .jpg”5個字符,所以要將Cookie的長度“Content-Length: 678”改爲“Content-Length: 683”。然後保存此文件爲“test.txt”。
(3)用UltraEdit32打開剛纔保存的“test.txt”文件,打到“filename="D:/冰狐浪子微型ASP後門/asp.asp .jpg"”,把空格對應的十六進制代碼20改爲00。然後再次保存文本(如圖7)。
(4)打開命令窗口,在其中輸入“nc epu***.com 80<test.txt”,很快提示提交成功,並顯示文件上傳後的路徑爲“http://ep***.com/dl/viovi/20050709 /bbs/asp.asp”。打開冰狐浪子客戶端,輸入網頁木馬鏈接地址後即可對網站進行控制了(如圖8)。
最後要提醒大家的是,這種入侵方式對付許多存在上傳漏洞的網站都是非常有效的,如文中提到的多種網站系統。其利用原理都是相同的,方法大同小異而已。而WSockExpert的用法也不僅止於上傳漏洞入侵,在很多場合都是我們入侵分析的好幫手