如何使用Socket自动登陆Web服务器

quxianyang

我现在想利用Socket自动登陆一个Web服务器，现在已经能够获取到JSESSIONID，但是不知道怎么才能在请求中加入用户名和密码。
由于这个服务器是HTTPS的，我用截报文的方法看到的都是密文，不知道具体的HTTP请求是什么样子的？
就是该以什么形式把用户名和密码放进请求中呢？

Cyberman.Wu

没完全明白你的意思，你是要传一个表单中的用户名密码数据，还是SESSION？你说的JRESESSION是JSP中的吗？这个不是很清楚，但我以前抓包分析过PHP和ASP的，现在久了记不清楚了，但大概记得它是用Cookie实现的，只是浏览器不保存而已，属于一种临时性的Cookie。

传表单数据的话，要在HTTP头的\r\n的空行之后附加，具体的格式你查一下RFC，或自己抓包看一下就知道了，当然最前面得是POST。如果是GET请求传直接附加到GET的网页后面用?xx=yy来传。

至于SSL，你就不能直接用普通socket传了，需要连接一个SSL库（应该是要用这个库里面的函数来处理网络操作，这个我还没用过，给不了你太具体建议），而你在应用层中填写的数据还是标准的明文HTTP数据，收到的也是。

quxianyang

那个JSESSIONID是我向服务器提交一个GET请求后获得的响应中带有的东西，就是这样的：
Set-Cookie:JSESSIONID=B928E3CBFEABBA8264E962964642CFED；

我是使用的openssl库做的，就是把普通的socket绑定到一个SSL对象上，就可以实现加密传输了。
在GET到页面以后，这个页面上有一个表单，我需要填写。
我想通过抓包的方式看看使用浏览器与服务器通信时的报文是什么样子的，但是得到的都是一些加密后的东西，完全看不懂

Cyberman.Wu

抓包工具有些好像也可以分析SSL，只要把key给它，不过这种功能我没用过。

Set-cookie是在头部的，不过表单是在HTML文本中的，你要根据<form><input ...>...</form>来分析。如果是固定的，就处理这一个页面，实际上你直接生成提交的POST请求即可；如果只需要这个Cookie，你把Cookie值分析出来POST的时候带上去就是了。如果要学习POST是如何发数据的，则可以找一个明文的网站抓包看一下就可以了，很简单的。

[ 本帖最后由 Cyberman.Wu 于 2009-2-22 23:59 编辑 ]