WSockExpert是一個抓包工具，它可以用來監(jiān)視和截獲指定進程網(wǎng)絡數(shù)據(jù)的傳輸，對測試網(wǎng)站時非常有用。在黑客的手中，它常常被用來修改網(wǎng)絡發(fā)送和接收數(shù)據(jù)，利用它可以協(xié)助完成很多網(wǎng)頁腳本入侵工作。

使用教程[ ]

WSockExpert的使用原理：當指定某個進程后，WSockExpert就會在后臺自動監(jiān)視記錄該進程通過網(wǎng)絡接收和傳送的所有數(shù)據(jù)。在進行網(wǎng)頁腳本攻擊時，我們常常會利用到用戶驗證漏洞、Cookie構(gòu)造等手段，在使用這些入侵手段時，我們先用WSockExpert截獲網(wǎng)站與本機的交換數(shù)據(jù)，然后修改截獲到的網(wǎng)絡交換數(shù)據(jù)，將偽造的數(shù)據(jù)包再次提交發(fā)送給網(wǎng)站進行腳本入侵，從而完成攻擊的過程。

具體使用[ ]

WSockExpert的使用非常簡單，軟件運行后界面如圖1所示，點擊工具欄上的“打開”按鈕打開監(jiān)視進程選擇對話框（如圖2），在其中找到需要監(jiān)視的進程后，點擊左邊的加號按鈕，展開后選擇需要監(jiān)視的進程即可。

以監(jiān)視IE瀏覽器網(wǎng)絡數(shù)據(jù)為例，可以在打開的對話窗口中找到進程項目名“iexplorer.exe”并展開，在其下選擇正在登錄的網(wǎng)頁名稱，例如“搜狐通行證-搜狐 - Microsoft Internet Explorer”的進程。選擇該進程后，點擊對話框中的“Open”按鈕，返回主界面開始對本機與“搜狐通行證”網(wǎng)站的數(shù)據(jù)交換進行監(jiān)控。如果點擊對話框中的“Refresh”按鈕的話，可以刷新列表中的進程項目名。

圖1：

圖2：

在主界面的上部窗口中，將即時顯示本地主機與遠程網(wǎng)站進行的每一次數(shù)據(jù)交換（如圖3）?？梢詮摹癝tatus”中看到此次數(shù)據(jù)交換是發(fā)送或接收的狀態(tài)，并可在“PacketsHex”列中看到交換數(shù)據(jù)的十六進制代碼；在“PacketsText”中顯示的是十六進制代碼轉(zhuǎn)換過來的信息。從“Address”列中可以查看到每次數(shù)據(jù)交換經(jīng)過了多少次IP地址傳遞與轉(zhuǎn)換，并可查看到遠程主機的IP地址。

圖3：

點擊窗口中的某次數(shù)據(jù)交換，在下方的窗口中可以看到詳細的轉(zhuǎn)換后的交換數(shù)據(jù)信息，類似：

“GET /freemail/030814/c.gif HTTP/1.1

Accept: */*

Referer: http://passport.sohu.com/auth.jsp

Accept-Language: zh-cn

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Maxthon)

Host: images.sohu.com

Connection: Keep-Alive

Cookie: SUV=0410082157007081; IPLOC=CN52; SITESERVER=ID=a936e6b07d96bcc24d5b8b59e9cf435a”

在捕獲到的信息中比較重要的數(shù)據(jù)項目有：“GET ……”，該項表示與網(wǎng)站交換信息的方式；“Referer：”，表示W(wǎng)SE捕獲到的數(shù)據(jù)提交網(wǎng)頁，這在查找一些隱藏的登錄網(wǎng)頁時較為有用；以及遠程主機名“Host”、連接方式“Connetcion”等，其中的“Cookie”在構(gòu)造偽裝數(shù)據(jù)時一般都要用到。

在這里，我們捕獲到的是密碼傳送步驟的交換信息，在諸如發(fā)貼、文件上傳等操作時，還可以捕獲到的一些重要的信息，如“Content-Type: image/gif”代表了上傳的文件類型，而“Content-Length:”表示Cookie的數(shù)據(jù)長度；還有文件上傳后的保存路徑等等，總之任何重要的隱藏數(shù)據(jù)交換都逃不脫你的眼睛。

小提示：此外在工具欄上還有“Filter”過濾按鈕，可以對接收和發(fā)送的數(shù)據(jù)信息進行過濾保存與清除。

WSockExpert使用實例[ ]

下面就結(jié)合上傳漏洞，為大家介紹一個WSockExpert協(xié)助入侵的實例。

上傳漏洞的簡單原理[ ]

網(wǎng)站的上傳漏洞是由于網(wǎng)頁代碼中的文件上傳路徑變量過濾不嚴造成的，在許多論壇的用戶發(fā)帖頁面中存在這樣的上傳Form（如圖4）

圖4：

其網(wǎng)頁編程代碼為：

<form action="user_upfile.asp" ...>

<input type="hidden" name="filepath" value="UploadFile">

<input type="file" name="file">

<input type="submit" name="Submit" value="上傳" class="login_btn">

</form>

在其中“filepath”是文件上傳路徑變量，由于網(wǎng)頁編寫者未對該變量進行任何過濾，因此用戶可以任意修改該變量值。在網(wǎng)頁編程語言中有一個特別的截止符"\0"，該符號的作用是通知網(wǎng)頁服務器中止后面的數(shù)據(jù)接收。利用該截止符可們可以重新構(gòu)造filepath，例如正常的上傳路徑是:http://www.***.com/bbs/uploadface/200409240824.jpg,但是當我們使用“\0”構(gòu)造filepath為http://www.***.com/newmm.asp\0/200409240824.jpg

這樣當服務器接收filepath數(shù)據(jù)時,檢測到newmm.asp后面的\0后理解為filepath的數(shù)據(jù)就結(jié)束了，這樣我們上傳的文件就被保存成了：http://www.***.com/newmm.asp。

小提示：可能有人會想了，如果網(wǎng)頁服務器在檢測驗證上傳文件的格式時，碰到“/0”就截止，那么不就出現(xiàn)文件上傳類型不符的錯誤了嗎？其實在檢測驗證上傳文件的格式時，系統(tǒng)是從filepath的右邊向左邊讀取數(shù)據(jù)的，因此它首先檢測到的是“.jpg”，當然就不會報錯了。

利用這個上傳漏洞就可以任意上傳如.ASP的網(wǎng)頁木馬，然后連接上傳的網(wǎng)頁即可控制該網(wǎng)站系統(tǒng)。

WSE與NC結(jié)合，攻破DvSP2[ ]

許多網(wǎng)站都存在著上傳漏洞，由于上傳漏洞的危害嚴重，所以各種網(wǎng)站都紛紛采取了保護措施。但是由于網(wǎng)頁編程人員在安全知識方面的缺乏，因此很多網(wǎng)站都只是簡單的在代碼中加了幾個“hidden”變量進行保護。不過在WSockExpert的面前，它們就無能為力了。在這里以入侵“DvSP2云林全插件美化版”網(wǎng)站為例介紹一個入侵的全過程：

首先在Google或百度中輸入關(guān)鍵詞“Copyright xdong.Net”進行搜索，將會得到大量使用“DvSP2云林全插件美化版”建立的網(wǎng)站。這里本例挑選了http://ep***.com/dl/viovi/20050709/bbs/index.asp作為攻擊目標。

注冊并登錄論壇，選擇發(fā)帖，然后在文件上傳路徑中瀏覽選擇我們要上傳的ASP網(wǎng)頁木馬（如圖5）。再打開WSockExpert開始監(jiān)視與此網(wǎng)頁進行的數(shù)據(jù)交換，回到網(wǎng)頁中點擊“上傳”按鈕，將會報錯提示文件類型不符。不用管它，回到WSockExpert中找到“ID”為3和4的這兩行數(shù)據(jù)，將它們復制并粘貼到一個新建的TXT文本文件中。打開此文本文件，在其中找到“filename="D:\冰狐浪子微型ASP后門\asp.asp"”，改為“filename="D:\冰狐浪子微型ASP后門\asp.asp .jpg"”（如圖6）。

圖5：

圖6：

小提示：注意在“.jpg”前有一個半角空格在，由于增加了“ .jpg”5個字符，所以要將Cookie的長度“Content-Length: 678”改為“Content-Length: 683”。然后保存此文件為“test.txt”。

用UltraEdit32打開剛才保存的“test.txt”文件，打到“filename="D:\冰狐浪子微型ASP后門\asp.asp .jpg"”，把空格對應的十六進制代碼20改為00。然后再次保存文本（如圖7）。

圖7：

打開命令窗口，在其中輸入“nc epu***.com 80<test.txt”，很快提示提交成功，并顯示文件上傳后的路徑為http://ep***.com/dl/viovi/20050709/bbs/asp.asp。打開冰狐浪子客戶端，輸入網(wǎng)頁木馬鏈接地址后即可對網(wǎng)站進行控制了（如圖8）。

圖8：

總結(jié)[ ]

最后要提醒大家的是，這種入侵方式對付許多存在上傳漏洞的網(wǎng)站都是非常有效的，如文中提到的多種網(wǎng)站系統(tǒng)。其利用原理都是相同的，方法大同小異而已。而WSockExpert的用法也不僅止于上傳漏洞入侵，在很多場合都是我們?nèi)肭址治龅暮脦褪帧?

相關(guān)條目[ ]

• Sniffer

參考來源[ ]

http://www.anqn.com