攻防課堂之抓包案例詳解（下）

互聯(lián)網(wǎng)上流動(dòng)著各式各樣的數(shù)據(jù)，而這些數(shù)據(jù)都是經(jīng)過“封裝”后再傳輸?shù)?，所以我們也可以說互聯(lián)網(wǎng)上流動(dòng)著各種各樣的“數(shù)據(jù)包”。如果能夠把這些包抓下來，我們就可以窺探網(wǎng)上傳遞的信息。

獲取本機(jī)cookie信息

練習(xí)地址：

http：//218.86.126.77/ Cpcfan/2007/2/lxl.asp

許多網(wǎng)站與用戶溝通都是使用Cookie來完成的，登錄站點(diǎn)后cookie的信息會(huì)被保存起來，再次訪問這些網(wǎng)站的時(shí)候，瀏覽器就會(huì)把這些信息再次打包到請(qǐng)求包中發(fā)送出去，通過抓包軟件我們可以抓取這些請(qǐng)求包，查看附帶的cookie信息，具體操作步驟如下：

1) 打開IE輸入http：//218.86.126.77/Cpcfan/2007/2/lxl.asp，輸入任意的用戶名和密碼，登錄。

2) 運(yùn)行IRIS，選擇“Filters”菜單，點(diǎn)“Edit filtersettlng”。在彈出的窗口中，選擇左邊列表里的“IPaddress”，把“This Host”用鼠標(biāo)拖到下面的表格的第一行addressl中，“dir”選擇“一>”，address 2中輸入218. 86.126.77，然后點(diǎn)“應(yīng)用”按鈕。

3) 選擇左邊列表里的“Ports”，在“knownports”列表中，雙擊“http:80”，單擊“確定”按鈕，關(guān)閉窗口。點(diǎn)“File”菜單，選“New Capture session”，按“Ctrl+A”開始抓包，最小化窗口。

4) 關(guān)閉所有的lE窗口和BT下載和網(wǎng)絡(luò)游戲之類的其他網(wǎng)絡(luò)軟件，確保目前沒有其他軟件使用網(wǎng)絡(luò)。打開IE輸入http：//218.86.126.77/Cpcfan/2007/2/lxl.asp。

5) 打開IRIS，按“Ctrl+a”停止抓包，點(diǎn)左邊浮動(dòng)面板上的“Decode”圖標(biāo)，即可看見“Tcp->http(80)”的條目。單擊該條目，在右邊的列表中查找，可發(fā)現(xiàn)我們需要的網(wǎng)頁，其中發(fā)送的數(shù)據(jù)包Cookie后面的內(nèi)容就是服務(wù)器存放在本機(jī)上的Cookie信息。

獲取下載鏈接的實(shí)際地址

練習(xí)地址：

htto：//218.86.126.77/Cpcfan/2007/2/lx2.asp

許多網(wǎng)站為了保證自己的多媒體資料不被人下載，總是想法設(shè)法地隱藏多媒體資源的實(shí)際地址，通過對(duì)發(fā)送和接收的數(shù)據(jù)包進(jìn)行分析，很容易就可以把這些多媒體資源的實(shí)際地址分析出來。具體的操作步驟是：

1) 運(yùn)行IRIS，選擇“Filters”菜單，點(diǎn)“Edit filtersetting”。 在彈出的窗口中，選擇左邊列表里的“IPaddress”。把“This Host”用鼠標(biāo)拖到下面的表格的第一行addressl中，“dir”選擇“-->”，address 2不做任何選擇，然后點(diǎn)“應(yīng)用”按鈕。單擊“確定”按鈕，關(guān)閉窗口。

2) 點(diǎn)“File”菜單，選“New Capture session”，按“Ctrl+A”開始抓包，最小化窗口。

3) 關(guān)閉所有的IE窗口和BT下載和網(wǎng)絡(luò)游戲之類的其他網(wǎng)絡(luò)軟件，確保目前沒有其他軟件使用網(wǎng)絡(luò)。打開IE輸入http：//218.86.126.77/Cpcfan/2007/2/lx2.asp。

4) 打開IRIS，按“Ctrl+a”停止抓包，點(diǎn)左邊浮動(dòng)面板上的“Decode”圖標(biāo)，即可看見“Tcp->http(80)”的條目。

構(gòu)建數(shù)據(jù)包欺騙網(wǎng)站

練習(xí)輔助軟件：nc.exe

練習(xí)地址：

http：//218.86.126.77/Cpcfan/2007/2/lx3，asp

練習(xí)地址是個(gè)登錄界面，用戶名是cpcfan，密碼是2007，可是登錄的時(shí)候，程序能識(shí)別你的瀏覽器，并限制登錄，如何利用構(gòu)建數(shù)據(jù)包來欺騙服務(wù)器呢?

1) 運(yùn)行IRlS，選擇“Filters”菜單，點(diǎn)“Edit filtersetting”。在彈出的窗口中，選擇左邊列表里的“IPaddress”，把“This Host”用鼠標(biāo)拖到下面的表格的第一行addressl中，“dir”選擇“一>”，address 2中輸入218.86.126.77，然后點(diǎn)“應(yīng)用”按鈕。

2) 選擇左邊列表里的“Ports”，在“knownports”列表中，雙擊“http：80”，單擊“確定”按鈕，關(guān)閉窗口。點(diǎn)“File”菜單，選“New Capture session”，按“Ctrl+A”開始抓包，最小化窗口。

3) 關(guān)閉所有的IE窗口和BT下載和網(wǎng)絡(luò)游戲之類的其他網(wǎng)絡(luò)軟件，確保目前沒有其他軟件使用網(wǎng)絡(luò)。打開IE輸入http：//218.86.126.77/Cpcfan/2007/2/lx3.asp，輸入正確的用戶名和密碼，登錄得到錯(cuò)誤瀏覽器提示。

4) 再打開IRIS按“Ctrl+a”停止抓包，點(diǎn)“Decode”按鈕，找到登錄用的數(shù)據(jù)包，選中，點(diǎn)右鍵把它拷貝出來，保存到文本文件中命名為a.txt。

把其中User-Agent：這一行改為：User-Agent：cpcfan，保存a.txt后將a.txb和nc.exe拷貝在同一個(gè)目錄，執(zhí)行命令：nc 218.86.126.76.80<1.txt>a.htm。打開a.htm，可以看到“歡迎使用測(cè)試頁!cpcfan”，證明登錄成功。