题记:网络中各种各样的数据包在流通,加密的,不加密的,问题的关键是我们如何得到它,然后利用和破解它。此系列文章涉及到OSI七层参考模型,阅读之前请先了解。
-------------------------谨以此文坚持与信息安全做斗争
本文仅以一个小工具Winsock Expert说明网络抓取数据包的过程,至于其他高级的Sniffer技术,请关注其他文章。请注意:任何Sniffer类的程序都已经被列入黑名单,所有的杀毒软件必杀无疑。
Winsock Expert是一个用来监视和修改网络发送和接收数据的程序,可以用来帮助您调试网络应用程序,分析网络程序的通信协议(如分析IE/QQ等的发送接收数据),并且在必要的时候能够修改发送的数据。
使用过程非常简单,首先运行本软件和需要监视的网络应用程序,然后使用"Open Process"按钮,选择正确的程序打开,这时候会创建一个子窗口,使用同样的方法您可以同时监视多个进程。
网络数据抓包分析 - qhl8099 - qhl8099的博客
默认情况下,刚刚打开的进程已经开始监视数据,需要的话您可以手动按下工具条上的"Start/Stop Capture" 按钮进行监视/不监视的切换,如果发现一开始没有自动进行监视,您也需要手工进行切换。网络数据抓包分析 - qhl8099 - qhl8099的博客
使用"add filter","Edit Filter"等可以添加/修改筛选条件,这可以用来自动修改应用程序向外发送的数据,具体使用方法和WPE的类似。创建好筛选条件后,您需要按下"Set Filter"按钮进行设置应用,否则这些筛选条件不会起作用。
下面重点说明下数据包的分析,打开IE浏览器,输入http://192.168.100.31:50000/manufacturing/进行登录,site=090013,user=459009,pass=byd123,看到Winsock Expert已经抓取了很多数据包,
网络数据抓包分析 - qhl8099 - qhl8099的博客
其中:
Status:Send,表示发送的数据,使用的方式包括POST和GET,具体以网站设计的代码为准,关于两者的区别可以搜索下。
Status:WSARecv,表示本机接到的数据,对于中文,则乱码显示,在客户端(浏览器)进行解码。
PacketsText,表示提交的内容,可以通过"Change Packet View"按钮您可以切换数据包的显示方式:文本方式和十六进制方式。
Address:地址信息,IP和端口。
简单对抓取的数据包进行分析
GET /manufacturing/com/genrad/app/core/sys/client/ActivityManager.jsp HTTP/1.1
//使用get方式提交页面申请,使用HTTP协议版本1.1
网络数据抓包分析 - qhl8099 - qhl8099的博客
Accept: application/x-shockwave-flash, image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
//页面接受类型,这个和浏览器有关系,报告现在能支持的类型
Referer: http://192.168.100.31:50000/manufacturing/com/genrad/app/core/sys/client/AppFrame.jsp
//参考页面,就是返回的页面地址
Accept-Language: zh-cn
//语言选项,和浏览器设置有关
网络数据抓包分析 - qhl8099 - qhl8099的博客
Accept-Encoding: gzip, deflate
//解码类型,除了这2种以外还有其他的,看浏览器支持的类型
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
//User-Agent,用户代理,用来区分浏览器,简直是群魔乱舞啊,浏览器战争,不干预,具体可以搜索下
Host: 192.168.100.31:50000
//主机地址
Connection: Keep-Alive
//链接类型,和下面的Cookie有关系
Cookie: SCESESSIONID=1vdzJ5GfLLJJdG9Q2g16lhTs<wbr>6nLGZv1Gy4dPPDY64pGgRPqn<wbr>ypv4!1218488380</wbr></wbr>
//小甜饼,在入侵过程中非常有用的东东,利用NC提交可以直接获取管理员权限,挂马Webshell走人。
使用另外一个网络通信软件来分析网络数据包的过程,打开之后,输入正确的时间,随便点击可按钮测试,分析Winsock Expert给返回的信息。
网络数据抓包分析 - qhl8099 - qhl8099的博客
Start提交数据:
POST /manufacturing/com/genrad/app/xml/client/ProductionInterface.jsp HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; InfoPath.1)
Connection: Keep-Alive
Cache-Control: no-cache
Host: hzmes.byd.com.cn:50000
Content-Length: 254
//内容长度,某些网站限制了提交内容的长度,让入侵变得困难起来。
message=090013XMLT200904300003PS<wbr>04-TOP_AOI_VIPS04-TOP_AOI_VI459009</wbr>
MESSAGE返回的信息:
HTTP/1.1 200 OK
//状态200,表示OK;404表示未找到页面;502禁止访问,具体google下。
Date: Thu, 30 Apr 2009 02:01:20 GMT
//返回服务器时间
Content-Length: 124
//返回内容的长度
Content-Type: text/html; charset=UTF-8
//返回的类型和字符编码方式,看客户端是否支持了,不支持中文则显示乱码
The operation "PS04-TOP_AOI_VI" does not exist. (Message 18007)
//返回的MESSAGE和小工具获取的是一样的。
GetServerTime获取服务器时间,其实使用net time更加简单,没必要接口来接口去,一个死全部死。
POST /MESSecServer/ProductionInterface.jsp HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; InfoPath.1)
Connection: Keep-Alive
Cache-Control: no-cache
Host: 10.6.68.242:8080
Content-Length: 189
message=090013yyyy-MM-dd HH:mm:ss459009byd123
MESSAGE返回的数据:
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Content-Type: text/html;charset=UTF-8
Content-Length: 136
Date: Thu, 30 Apr 2009 02:04:42 GMT
2009-04-30 10:04:42
Winsock Expert是一个简单的数据包抓取工具,轻量级是它的特性,可以根据进程抓取数据包,比起Sniffer这样的重量级工具非常的方便,也约束了其功能。Sniffer的技术非常广泛,在局域网安全中也尤为重要,后期会提到ARP欺骗、DNS欺骗、局域网密码嗅探、3389密码截获、网络Hash获取等一系列的文章,没有绝对的安全。