首页
社区
课程
招聘
[讨论] 一段http头文件的分析,请大家多指教.
发表于: 2008-12-7 00:31 7559

[讨论] 一段http头文件的分析,请大家多指教.

2008-12-7 00:31
7559
老早就在看雪注册了,一直潜水,偶尔浮出来也是灌水,不谈技术.
主要是自己太菜,而看雪大牛太多. 前几天买彩/票,今天去兑奖中了50块,异常兴奋.生平第一次中奖啊.
于是发此帖,纪念一下.胡乱找了个游戏安装程序的exe文件.胡乱分析了一下.

抓包数据如下
ASCII数据:
POST./setup/install.asp?

GameID=76&info=6F0F6F0F59743C0F396FE41574480F596F2A74E4399494EB74740FEB48594848933C94594EE49394943E94B03E4E153E59

153E1A3B3E155993949494949494949494949494949494949494943C93949494E43E941FF93C3E3C59D9F93E1FF91F1F3E949494943E4E949

43C9359D9933C.HTTP/1.1..Accept:.image/gif,.image/x-xbitmap,.image/jpeg,.image/pjpeg,.application/x-shockwave-

flash,.*/*..Referer:.http://ca.sdo.com/setup/install.asp?gameid=78..Accept-Language:.en-us..Content-

Type:.application/x-www-form-urlencoded..Accept-Encoding:.gzip,.deflate..User-Agent:.Mozilla/4.0.

(compatible;.MSIE.6.0;.Windows.NT.5.1;.SV1)..Host:.ca.sdo.com..Content-Length:.41..Connection:.Keep-Alive..Cache

-Control:.no-

cache..Cookie:.ASPSESSIONIDCCRTACQR=CIMEAKJAIJGKLPMDHPBKGPEI....Account=sdissb&ReAccount=sdissb



以上代码是一个exe文件 通过http协议发送给服务端的一段信息.
从以上内容,我们可以分析出:
POST./setup/install.asp?

GameID=76&info=6F0F6F0F59743C0F396FE41574480F596F2A74E4399494EB74740FEB48594848933C94594EE49394943E94B03E4E153E59

153E1A3B3E155993949494949494949494949494949494949494943C93949494E43E941FF93C3E3C59D9F93E1FF91F1F3E949494943E4E949

43C9359D9933C.


此段内容 提交的页面地址为:
./setup/install.asp
GameID=76  (定义是 某个游戏的代码)

;*******************我就是那道完美的分割线*********************

info=6F0F6F0F59743C0F396FE41574480F596F2A74E4399494EB74740FEB48594848933C94594EE49394943E94B03E4E153E59

153E1A3B3E155993949494949494949494949494949494949494943C93949494E43E941FF93C3E3C59D9F93E1FF91F1F3E949494943E4E949

43C9359D9933C

该段内容 应该为收集的 我机器上的某些硬件信息,硬盘序列号之类的东西吧.

;*******************我就是那道完美的分割线*********************

HTTP/1.1.


代表是http1.1协议?  (不懂http协议,乱猜的   )

;*******************我就是那道完美的分割线*********************

Accept:.image/gif,.image/x-xbitmap,.image/jpeg,.image/pjpeg,.application/x-shockwave-

flash,.*/*


这段应该无关紧要,接收文件格式之类的?

;*******************我就是那道完美的分割线*********************

Referer:.http://ca.sdo.com/setup/install.asp?gameid=78..Accept-Language:.en-us..Content-

Type:.application/x-www-form-urlencoded..Accept-Encoding:.gzip,.deflate..User-Agent:.Mozilla/4.0.

Referer我知道,是指跳转之前来自的页面.
{来自百度的解释:
一些网站通过HTTP_REFERER来做安全验证,判断用户是不是从允许的页面链接来的,而不是直接从浏览器上打URL或从其他页面链接过来,这样可以从一定程度上防止网页被做非法使用。但从上述原理来看,想要骗过服务器也并不困难,只要手工构造输入的HTTP消息头就可以了,其他常用的手段还有通过HOSTS文件伪造域名等。
}

Type:
  未知,知道的人麻烦回帖告诉我下,嘿嘿.

Agent:
这里应该指的是本机浏览器吧?  不过我用的是IE呀,怎么上面提交的是Mozilla/4.0,后面的4.0.难道指的就是IE4.0以及 以上版本? 猜的.

;*******************我就是那道完美的分割线*********************

-
Control:.no-cache..

从文字看来,应该是没有缓存的意思.

Cookie:.ASPSESSIONIDCCRTACQR=CIMEAKJAIJGKLPMDHPBKGPEI....Account=sdissb&ReAccount=sdissb


Cookie:后面一堆字母的含义... 等高手作答了..

Account:向服务端发送的安装者的帐号.

;*******************我就是那道完美的分割线*********************

附加问题如下:

这些代码是在 [点击] <<完成安装>> 按钮 之后发送的.我想知道的是:

info=6F0F6F0F59743C0F396FE41574480F596F2A74E4399494EB74740FEB48594848933C94594EE49394943E94B03E4E153E59

153E1A3B3E155993949494949494949494949494949494949494943C93949494E43E941FF93C3E3C59D9F93E1FF91F1F3E949494943E4E949

43C9359D9933C

该段内容 应该为收集的 我机器上的某些硬件信息,硬盘序列号之类的东西吧.

-----------------------------------
这段生成东西的具体含义.按理来说,用OD下断 安装程序.exe,找到生成这段代码的函数即可.显而易见,下断 按钮 <<完成安装>> 自然可以得到 该段核心代码,但不知道改如何下断,包括取消按钮在内的整个板块都是一个 Static控件.不知道如何下手...  大家给点提示.

最新想法是下断Send函数..   不太熟悉网络api,先查资料,随后有结果了我跟帖上来.期待可以获得我在看雪上的第一篇精华.   

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (13)
雪    币: 207
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
最新发现如下:

论坛的keyword: 彩/票,是被屏蔽的,哈哈,大家试试看.
没想到哦
2008-12-7 00:32
0
雪    币: 207
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
24小时了.. 竟然没一个回复..

继续期待回帖...
2008-12-8 00:38
0
雪    币: 189
活跃值: (56)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
4
美女阿       阿        阿
2008-12-8 01:07
0
雪    币: 196
活跃值: (135)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
5
这些数据多数都是HTTP协议所需要通讯数据.应该只有GameID和Info是它自定义的.应该可以下断send函数,字符串操作类函数.
2008-12-8 08:40
0
雪    币: 590
活跃值: (177)
能力值: ( LV9,RANK:680 )
在线值:
发帖
回帖
粉丝
6
鼓励LZ的学习精神
当然支持我们看雪的“元老级”人物
2008-12-8 08:53
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
7
想骗aion的激活码?
2008-12-8 10:00
0
雪    币: 50161
活跃值: (20645)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
8
这方面的软件,论坛不允许讨论。特别是一些有争议的相关软件,大环境也不允许。
2008-12-8 10:24
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
没看懂 LZ分析出什么了么 抓的是安装包的发包?
2008-12-8 11:26
0
雪    币: 196
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
这个这个,到底分析出了什么东西啊??
看不明白
2008-12-8 12:12
0
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
11
被你提醒

发现这真是个好招
2008-12-8 19:11
0
雪    币: 207
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
拜托,论坛消息给我一下,嘿嘿.
还是你家眼快.

不过也确实想知道具体发送了些什么信息出去,靠什么判断的.
2008-12-8 20:22
0
雪    币: 207
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
还竟然得到了看雪老大的回复.
2008-12-8 20:23
0
雪    币: 8128
活跃值: (1980)
能力值: ( LV8,RANK:122 )
在线值:
发帖
回帖
粉丝
14
这个离精华还有点远
2008-12-8 22:10
0
游客
登录 | 注册 方可回帖
返回
//