flash 网络数据抓包分析

题记：网络中各种各样的数据包在流通，加密的，不加密的，问题的关键是我们如何得到它，然后利用和破解它。此系列文章涉及到OSI七层参考模型，阅读之前请先了解。

-------------------------谨以此文坚持与信息安全做斗争

本文仅以一个小工具Winsock Expert说明网络抓取数据包的过程，至于其他高级的Sniffer技术，请关注其他文章。请注意：任何Sniffer类的程序都已经被列入黑名单，所有的杀毒软件必杀无疑。

Winsock Expert是一个用来监视和修改网络发送和接收数据的程序，可以用来帮助您调试网络应用程序，分析网络程序的通信协议（如分析IE/QQ等的发送接收数据），并且在必要的时候能够修改发送的数据。

使用过程非常简单，首先运行本软件和需要监视的网络应用程序，然后使用"Open Process"按钮，选择正确的程序打开，这时候会创建一个子窗口，使用同样的方法您可以同时监视多个进程。

网络数据抓包分析 - qhl8099 - qhl8099的博客

默认情况下，刚刚打开的进程已经开始监视数据，需要的话您可以手动按下工具条上的"Start/Stop Capture" 按钮进行监视/不监视的切换，如果发现一开始没有自动进行监视，您也需要手工进行切换。网络数据抓包分析 - qhl8099 - qhl8099的博客

使用"add filter","Edit Filter"等可以添加/修改筛选条件，这可以用来自动修改应用程序向外发送的数据，具体使用方法和WPE的类似。创建好筛选条件后，您需要按下"Set Filter"按钮进行设置应用，否则这些筛选条件不会起作用。

下面重点说明下数据包的分析，打开IE浏览器，输入http://192.168.100.31:50000/manufacturing/进行登录，site=090013，user=459009，pass=byd123，看到Winsock Expert已经抓取了很多数据包，

网络数据抓包分析 - qhl8099 - qhl8099的博客

其中：

Status：Send，表示发送的数据，使用的方式包括POST和GET，具体以网站设计的代码为准，关于两者的区别可以搜索下。

Status：WSARecv，表示本机接到的数据，对于中文，则乱码显示，在客户端（浏览器）进行解码。

PacketsText，表示提交的内容，可以通过"Change Packet View"按钮您可以切换数据包的显示方式：文本方式和十六进制方式。

Address：地址信息，IP和端口。

简单对抓取的数据包进行分析

GET /manufacturing/com/genrad/app/core/sys/client/ActivityManager.jsp HTTP/1.1

//使用get方式提交页面申请，使用HTTP协议版本1.1

网络数据抓包分析 - qhl8099 - qhl8099的博客

Accept: application/x-shockwave-flash, image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*

//页面接受类型，这个和浏览器有关系，报告现在能支持的类型

Referer: http://192.168.100.31:50000/manufacturing/com/genrad/app/core/sys/client/AppFrame.jsp

//参考页面，就是返回的页面地址

Accept-Language: zh-cn

//语言选项，和浏览器设置有关

网络数据抓包分析 - qhl8099 - qhl8099的博客

Accept-Encoding: gzip, deflate

//解码类型，除了这2种以外还有其他的，看浏览器支持的类型

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

//User-Agent，用户代理，用来区分浏览器，简直是群魔乱舞啊，浏览器战争，不干预，具体可以搜索下

Host: 192.168.100.31:50000

//主机地址

Connection: Keep-Alive

//链接类型，和下面的Cookie有关系

Cookie: SCESESSIONID=1vdzJ5GfLLJJdG9Q2g16lhTs<wbr>6nLGZv1Gy4dPPDY64pGgRPqn<wbr>ypv4!1218488380</wbr></wbr>

//小甜饼，在入侵过程中非常有用的东东，利用NC提交可以直接获取管理员权限，挂马Webshell走人。

使用另外一个网络通信软件来分析网络数据包的过程，打开之后，输入正确的时间，随便点击可按钮测试，分析Winsock Expert给返回的信息。

网络数据抓包分析 - qhl8099 - qhl8099的博客

Start提交数据：

POST /manufacturing/com/genrad/app/xml/client/ProductionInterface.jsp HTTP/1.1

Content-Type: application/x-www-form-urlencoded

Accept-Language: en-us

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; InfoPath.1)

Connection: Keep-Alive

Cache-Control: no-cache

Host: hzmes.byd.com.cn:50000

Content-Length: 254

//内容长度，某些网站限制了提交内容的长度，让入侵变得困难起来。

message=090013XMLT200904300003PS<wbr>04-TOP_AOI_VIPS04-TOP_AOI_VI459009</wbr>

MESSAGE返回的信息：

HTTP/1.1 200 OK

//状态200，表示OK；404表示未找到页面；502禁止访问，具体google下。

Date: Thu, 30 Apr 2009 02:01:20 GMT

//返回服务器时间

Content-Length: 124

//返回内容的长度

Content-Type: text/html; charset=UTF-8

//返回的类型和字符编码方式，看客户端是否支持了，不支持中文则显示乱码

The operation "PS04-TOP_AOI_VI" does not exist. (Message 18007)

//返回的MESSAGE和小工具获取的是一样的。

GetServerTime获取服务器时间，其实使用net time更加简单，没必要接口来接口去，一个死全部死。

POST /MESSecServer/ProductionInterface.jsp HTTP/1.1

Content-Type: application/x-www-form-urlencoded

Accept-Language: en-us

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; InfoPath.1)

Connection: Keep-Alive

Cache-Control: no-cache

Host: 10.6.68.242:8080

Content-Length: 189

message=090013yyyy-MM-dd HH:mm:ss459009byd123

MESSAGE返回的数据：

HTTP/1.1 200 OK

Server: Apache-Coyote/1.1

Content-Type: text/html;charset=UTF-8

Content-Length: 136

Date: Thu, 30 Apr 2009 02:04:42 GMT

2009-04-30 10:04:42

Winsock Expert是一个简单的数据包抓取工具，轻量级是它的特性，可以根据进程抓取数据包，比起Sniffer这样的重量级工具非常的方便，也约束了其功能。Sniffer的技术非常广泛，在局域网安全中也尤为重要，后期会提到ARP欺骗、DNS欺骗、局域网密码嗅探、3389密码截获、网络Hash获取等一系列的文章，没有绝对的安全。