危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18790362

抓包一点通

所谓的“抓包”其实就是“抓取数据包”的简称,指的是“将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也可用来检查网络安全,但往往被某些无耻之徒用来网游作弊。”——来自危险漫步博客介绍。最初接触到“抓包”是几年前还未出现验证码的时候,那时的网络投票系统几乎都会拜倒在“抓包”的石榴裙下,其工作流程一般是这样的:首先是使用经典的抓包工具WinSockExpert来抓取手工投票时本地机与投票服务器之间的数据,然后用NC进行数据包的伪造和提交,最后就是“刷票”成功。不过现在这种方法已经受到了限制IP、限制时间和验证码的严峻挑战,便这并不等于说“抓包”已经失去了它的立足之地;相反,其实并不需要复杂的知识,你只需要轻点几下鼠标就能见识见识“抓包”到底有多厉害。下面,大家不妨就随危险漫步一起进行一次抓包初体验吧!

使用的抓包工具是SmartSniff,当然也可以使用其它的,想必最终结果都会是一样的。在此我进行了三次成功的实验,目标分别是126信箱、某管理系统和在线Flash。另外,建议大家在进行抓包实验时,最好是将其他与网络进行数据变换的程序先暂时退出,否则你会被淹没在数据的海洋中(抓取的数据色太多)。

1.抓取126信箱的用户名和密码

首先双击运行抓包工具SmartSniff,先不要点击最左上角的“开始捕获”绿色按钮(下同)。然后打开浏览器,进入126信箱的登录页面,分别在“用户名”和“密码”后的输入框中输入对应的信息;接着点击SmartSniffijj“开始捕获”按钮,再点击登录126信箱页面中的“登录”按钮。当成功登录进入126信箱后,马上点击SmartSnifflrlj红色“停止捕获”按钮,此时我们已经得到了若干数据,也就是说完成了“抓包”工作。接下来在SmartSniff所抓取的数据包中仔细查找一下。用户名和密码也都分别在“user”和“password=”显示的一清二楚。

2.抓取某管理系统的用户名和密码

实验过程与刚才如出一辙,只不过目标换成了某高校研究生信息管理系统,同样是在“学号”(相当于“用户名”j和“密码”处输入相关信息后“登录”,成功后“停止捕获”,之后在抓取的数据包中也是清清楚楚看到了用户名(txtusername=)和密码(txtpassword-)。

3.抓取某在线Flash MV下载地址

前几年流行的下载在线Flash MV做法是通过浏览器的“查看源文件”方法,在随后用记事本打开的文本文件中查找,一般都能奏效。其实,使用抓包的方法也一样能够办到当然,由于一些软件本身的加密或是网页数据进行处理的原因,还有许多情况是“抓包”也不能得到“用户名”及“密码”之娄的敏感信息的。不过,虽然“抓包”不是万能的,但通过这三个非常简单的小实验,大家是不是也看到了“抓包”的厉害之处了呢?

相关推荐