当前位置:七道奇文章资讯安全技术菜鸟入门
日期:2009-08-10 16:34:00  来源:本站整理

小议session拐骗操纵以及代价[菜鸟入门]

赞助商链接



  本文“小议session拐骗操纵以及代价[菜鸟入门]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

  信息根源:险恶八进制信息安全团队(www.eviloctal.com

  小议session拐骗操纵以及代价

  Code by Link

  Web Site: www.link0day.cn 转载请注明出处 恭敬作者 谢谢

  Email address: Linkhack#qq.com

  话题参与者 道谢他们对话题的谈论(排名不分先后):

  冰sugar[H.S.G]

  樱木花盗 ——master

  Lenk[L.S.T]

  Khjl1[B.S.T]

  闷豆[B.S.T]

  莫x问[B.H.S.T]

  邪八的部份资料.

  通过此文 你可以大致理解到:

  Session的运行机制以及缺陷

  Session拐骗的正解以及实行证明

  Session 拐骗的作用以及越发安全的办法

  开始正题 烂文对比乱 大牛们谅解 若有不对的地方 欢送发邮件指出错误以便参与谈论学习.

  关于session拐骗  大家都蒙了.  百度上有一篇文章 骗了整个网络界 固然有不少人已经发现是错误的理论 误导的文章 .使不少人认为 session拐骗很牛x 其实不然

  那篇文章叫eWebEditor session拐骗漏洞

  没错 ew的确存在那漏洞 但是那个作者说错了 原文:

  eWebEditor session拐骗漏洞

  文章作者:nowthk

  eWebEditor在线编辑器

  漏洞文件:Admin_Private.asp

  漏洞语句:<%

  If Session("eWebEditor_User") = "" Then

  Response.Redirect "admin_login.asp"

  Response.End

  End If

  只判断了session,没有判断cookies和途径的考证问题.

  漏洞操纵:

  新建一个test.asp内容以下:

  <%Session("eWebEditor_User") = "11111111"%>

  拜候test.asp,再拜候后台任何文件,for example:Admin_Default.asp

  漏洞影响:虚拟主机的克星.      by nowthk

  noethk大牛设法不错 但是很惋惜 背离了session的运行机制.要知道 session是存放在服务端的 而放在客户端的只是一个服务端分发的sessionID .原文作者是在本地架设的环境 所以根本不存在客户端服务端之说.假如文章没有加上 虚拟主机的克星这几个字 预计就不会有什么争议. 的确 session是可以被拐骗.这个话题我丢到背面再说.先说机制.

  固然sessionID的唯一性大大地提高了session认证的总体安全 但是这世界上还有一样东西叫盗窃.

  我们来说说session的运行机制 . 比方你拜候www.link0day.cn 这个站 那么服务端就会分给你一个sessionID值(前提是他们开启session) 什么时刻你不爽 你关了浏览器 那么sessionID就失效了吗?

  个人通过汇集资料认为 session在服务端是有存活期的. 你关了浏览器的话 那么就只是注销了该站的sessionID值 但服务端还残留着 iis默许是保存20分钟 这样就给了我们可乘之机.

  持续说到session运行机制 有一个很重要的知识点就是 服务端与客户端交代 是通过cookies存放在某一文件夹里面的 也就是说 xss也可以盗取session.

  先别慌,看这一捉包来的数据:ASPSESSIONIDGQGGQAFC=FPGBGNOCAGPLAPOFOPJGODCJ

  看到没 asp sessionid*********** 等号背面就是他的sessionID值.  为了便利大家理解和考证办法的可行.我与垂老 樱木花盗 做了一实行(部份改正).

  垂老登陆一后台(当然是session有考证).然后捉包 发他的sessionID给我 然后他关了浏览器.也就是完毕了客户端与服务端的衔接 但那sessionID没过期. 我这边用啊D改正session 然后直接点击登陆 . 后果不可思议 成功登陆.

  这是阐明 客户端与客户端之间对服务端的拐骗 文绉绉地说 也就是中间人攻击,

  这里 大概你会问 入侵的时刻 别人会那么傻给你sessionID么.嘿嘿 问得好 .这里就呈现了xss.

  要知道 我们可爱的xss可以盗取cookies.. 我们直接把他的cookies相关直接盗过来.

  Xss恰好可以做到这一点. 至于怎么触发跨站就不用说了把..  盗取cookies的文件 网上一堆 自己找一下 改一下便可以.跨站的时刻拿cookie可以,但是拿session就麻烦.Session很快就要失效,除非没事一向等着目标中招后当即行动,不然就算拿到了session早就过期N久了

  上面说的是中间人攻击 , 下面就说一下另一种情形.直接"拐骗"服务端.

  这里就要改正不少人的概念了.回到文章一开始说的那个ew编辑器session拐骗的文章 作者当然是想错了 看了我前部份所说的运行机制 应当就可以弄个半懂把.也就说 客户端不能提交改正后的sessionID值到服务端 让服务端信任你.那样是不成立的.并且实行证明 不是行的.

  别的一个实行以下:

  WIN2003 SP1 +IIS6.0 不是虚拟主机,iis建的两个网站A、B.

  A -->s.asp : <%session("test")="ok"%>

  A -->e.asp :<%if session("test")<>"" then response.write("good!")%>

  B -->e.asp :<%if session("test")<>"" then response.write("good!")%>

  1.拜候http://A/e.asp 显示为空

  2.拜候http://B/e.asp  显示为空

  3.拜候http://A/s.asp

  4.拜候http://A/e.asp 显示"good!"

  5.拜候http://B/e.asp 显示为空

  6.拜候http://B/s.asp

  7.拜候http://B/e.asp 显示"good!"

  实行三:

  在http://www.xxx.net/1.asp写下了以下代码:

  <%

  session("username")="abddwww"

  %>

  又在同一主机另一个站点下写下了以下代码:(test.asp)

  <%

  if session("username")<>"" then

  response.write "ok"

  else

  response.write "no session"

  end if

  %>

  先拜候test.asp返回no session,然后拜候1.asp,再次拜候test.asp还是返回no session(同一ie进程下)

  阐明想跨站拐骗是不成功的

  假定要成功应用那个漏洞,除非www.x1.cnwww.x2.cn是绑定在同一主机头下,同目录.

  为什么? 这又与iis用户有关.. 假定权限设置得得当 是没办法read目录 +write目录的话 那样session拐骗是不成立的

  所以 要使成功 就必须以下几个条件

  1:成功获得了该域名下的一个webshell

  2:有读权限

  3:需求入侵的系统采取了session认证

  4:管理员利用的密码无法破解

  5:可以得到session考证的语句

  6. 同iis用户

  7. 同域名(一级or二级).:

  比方 www.sb.cn ,那么二级域名便可以是这样: fuck.sb.cn

  8. 同目录

  这样的洞洞是不是很难操纵? 其实普通小站都用不上 大站才用得上

  我曾经检测国内某某大学的时刻 就是靠这洞弄下不少shell 然后提权之.

  所以 事实证明 session拐骗是存在 但是 操纵范围对比狭窄 普通小站用不上 大站用这办法的话 倒是百试百灵~


  以上是“小议session拐骗操纵以及代价[菜鸟入门]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:

  • 小议session拐骗操纵以及代价
  • 本文地址: 与您的QQ/BBS好友分享!
    • 好的评价 如果您觉得此文章好,就请您
        0%(0)
    • 差的评价 如果您觉得此文章差,就请您
        0%(0)

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    Copyright © 2020-2022 www.xiamiku.com. All Rights Reserved .