WSockExpert使用方法教程.doc

一、WSockExpert简介        WSockExpert是一个抓包工具,它可以用来监视和截获指定进程网络数据的传输,对测试网站时非常有用。在黑客的手中,它常常被用来修改网络发送和接收数据,利用它可以协助完成很多网页脚本入侵工作。        WSockExpert的使用原理:当指定某个进程后,WSockExpert就会在后台自动监视记录该进程通过网络接收和传送的所有数据。在进行网页脚本攻击时,我们常常会利用到用户验证漏洞、Cookie构造等手段,在使用这些入侵手段时,我们先用WSockExpert截获网站与本机的交换数据,然后修改截获到的网络交换数据,将伪造的数据包再次提交发送给网站进行脚本入侵,从而完成攻击的过程。    二、WSockExpert的使用        WSockExpert的使用非常简单,软件运行后界面如图1所示:点击工具栏上的“打开”按钮打开监视进程选择对话框(如图2):在其中找到需要监视的进程后,点击左边的加号按钮,展开后选择需要监视的进程即可。以监视IE浏览器网络数据为例,可以在打开的对话窗口中找到进程项目名“”并展开,在其下选择正在登录的网页名称,例如“搜狐通行证-搜狐-Explorer”的进程。选择该进程后,点击对话框中的“Open”按钮,返回主界面开始对本机与“搜狐通行证”网站的数据交换进行监控。如果点击对话框中的“Refresh”按钮的话,可以刷新列表中的进程项目名。        在主界面的上部窗口中,将即时显示本地主机与远程网站进行的每一次数据交换(如图3)。可以从“Status”中看到此次数据交换是发送或接收的状态,并可在“PacketsHex”列中看到交换数据的十六进制代码;在“PacketsText”中显示的是十六进制代码转换过来的信息。从“Address”列中可以查看到每次数据交换经过了多少次IP地址传递与转换,并可查看到远程主机的IP地址。        点击窗口中的某次数据交换,在下方的窗口中可以看到详细的转换后的交换数据信息,类似:GET/freemail//  Accept:*/*  Referer:http://passport./  Accept-Language:  Accept-Encoding:gzip,deflate  User-Agent:Mozilla/;;;Maxthon)  Host:images.  Connection:Keep-Alive  Cookie:SUV=07081;52;SITESERVER=ID=24d5b8b59e9cf435a”在捕获到的信息中比较重要的数据项目有:“GET……”,该项表示与网站交换信息的方式;“Referer:”,表示WSE捕获到的数据提交网页,这在查找一些隐藏的登录网页时较为有用;以及远程主机名“Host”、连接方式“cion”等,其中的“Cookie”在构造伪装数据时一般都要用到。        在这里,我们捕获到的是密码传送步骤的交换信息,在诸如发贴、文件上传等操作时,还可以捕获到的一些重要的信息,如“Content-Type:image/gif”代表了上传的文件类型,而“Content-Leng