對(duì)于session欺騙 大家都蒙了。
百度上有一篇文章 騙了整個(gè)網(wǎng)絡(luò)界 雖然有不少人已經(jīng)發(fā)現(xiàn)是錯(cuò)誤的理論 誤導(dǎo)的文章 。使不少人覺得 session欺騙很牛x 其實(shí)不然
那篇文章叫eWebEditor session欺騙漏洞
沒錯(cuò) ew的確存在那漏洞 但是那個(gè)作者說錯(cuò)了 原文：
eWebEditor session欺騙漏洞
文章作者：nowthk
eWebEditor在線編輯器
漏洞文件:Admin_Private.asp
漏洞語句:<%
If Session("eWebEditor_User") = "" Then
Response.Redirect "admin_login.asp"
Response.End
End If
只判斷了session，沒有判斷cookies和路徑的驗(yàn)證問題。
漏洞利用:
新建一個(gè)test.asp內(nèi)容如下:
<%Session("eWebEditor_User") = "11111111"%>
訪問test.asp，再訪問后臺(tái)任何文件，for example:Admin_Default.asp
漏洞影響:虛擬主機(jī)的克星. by nowthk

noethk大牛想法不錯(cuò) 但是很可惜 背離了session的運(yùn)行機(jī)制。要知道 session是存放在服務(wù)端的 而放在客戶端的只是一個(gè)服務(wù)端分發(fā)的sessionID 。原文作者是在本地架設(shè)的環(huán)境 所以根本不存在客戶端服務(wù)端之說.如果文章沒有加上 虛擬主機(jī)的克星這幾個(gè)字 估計(jì)就不會(huì)有什么爭議。 的確 session是可以被欺騙。這個(gè)話題我丟到后面再說。先說機(jī)制。

雖然sessionID的唯一性大大地提高了session認(rèn)證的總體安全 但是這世界上還有一樣?xùn)|西叫盜竊.
我們來說說session的運(yùn)行機(jī)制 . 例如你訪問www.link0day.cn 這個(gè)站 那么服務(wù)端就會(huì)分給你一個(gè)sessionID值（前提是他們開啟session） 什么時(shí)候你不爽 你關(guān)了瀏覽器 那么sessionID就失效了嗎？
個(gè)人通過收集資料覺得 session在服務(wù)端是有存活期的。 你關(guān)了瀏覽器的話 那么就只是注銷了該站的sessionID值 但服務(wù)端還殘留著 iis默認(rèn)是保存20分鐘 這樣就給了我們可乘之機(jī)。
繼續(xù)說到session運(yùn)行機(jī)制 有一個(gè)很重要的知識(shí)點(diǎn)就是 服務(wù)端與客戶端交接 是通過cookies存放在某一文件夾里面的 也就是說 xss也可以盜取session。
先別慌，看這一捉包來的數(shù)據(jù)：ASPSESSIONIDGQGGQAFC=FPGBGNOCAGPLAPOFOPJGODCJ
看到?jīng)] asp sessionid*********** 等號(hào)后面就是他的sessionID值。 為了方便大家理解和驗(yàn)證方法的可行。我與老大 櫻木花盜 做了一實(shí)驗(yàn)(部分修改)。
老大登陸一后臺(tái)（當(dāng)然是session有驗(yàn)證）。然后捉包 發(fā)他的sessionID給我 然后他關(guān)了瀏覽器。也就是結(jié)束了客戶端與服務(wù)端的連接 但那sessionID沒過期。 我這邊用啊D修改session 然后直接點(diǎn)擊登陸 。 結(jié)果可想而知 成功登陸。
這是說明 客戶端與客戶端之間對(duì)服務(wù)端的欺騙 文縐縐地說 也就是中間人攻擊，
這里 可能你會(huì)問 入侵的時(shí)候 別人會(huì)那么傻給你sessionID么。嘿嘿 問得好 。這里就出現(xiàn)了xss。
要知道 我們可愛的xss可以盜取cookies。。 我們直接把他的cookies相關(guān)直接盜過來。
Xss恰恰可以做到這一點(diǎn)。 至于怎么觸發(fā)跨站就不用說了把。。 盜取cookies的文件 網(wǎng)上一堆 自己找一下 改一下就可以?？缯镜臅r(shí)候拿cookie可以，但是拿session就麻煩。Session很快就要失效，除非沒事一直等著目標(biāo)中招后立即行動(dòng)，不然就算拿到了session早就過期N久了
上面說的是中間人攻擊 ， 下面就說一下另一種情況。直接”欺騙”服務(wù)端。

這里就要糾正不少人的觀點(diǎn)了?；氐轿恼乱婚_始說的那個(gè)ew編輯器session欺騙的文章 作者當(dāng)然是想錯(cuò)了 看了我前部分所說的運(yùn)行機(jī)制 應(yīng)該就能弄個(gè)半懂把。也就說 客戶端不能提交修改后的sessionID值到服務(wù)端 讓服務(wù)端信任你。那樣是不成立的。并且實(shí)驗(yàn)證明 不是行的。
另外一個(gè)實(shí)驗(yàn)如下：
WIN2003 SP1 +IIS6.0 不是虛擬主機(jī)，iis建的兩個(gè)網(wǎng)站A、B。
A -->s.asp : <%session("test")="ok"%>

A -->e.asp :<%if session("test")<>"" then response.write("good!")%>
B -->e.asp :<%if session("test")<>"" then response.write("good!")%>

1.訪問http://A/e.asp 顯示為空
2.訪問http://B/e.asp 顯示為空

3.訪問http://A/s.asp
4.訪問http://A/e.asp 顯示"good!"
5.訪問http://B/e.asp 顯示為空

6.訪問http://B/s.asp
7.訪問http://B/e.asp 顯示"good!"
實(shí)驗(yàn)三：
在http://www.xxx.net/1.asp寫下了如下代碼：
<%
session("username")="abddwww"
%>
又在同一主機(jī)另一個(gè)站點(diǎn)下寫下了如下代碼：(test.asp)
<%
if session("username")<>"" then
response.write "ok"
else
response.write "no session"
end if
%>
先訪問test.asp返回no session，然后訪問1.asp，再次訪問test.asp還是返回no session（同一ie進(jìn)程下）
說明想跨站欺騙是不成功的
假如要成功運(yùn)用那個(gè)漏洞，除非www.x1.cn和www.x2.cn是綁定在同一主機(jī)頭下，同目錄。
為什么？ 這又與iis用戶有關(guān).. 假如權(quán)限設(shè)置得適當(dāng) 是沒辦法read目錄 +write目錄的話 那樣session欺騙是不成立的
所以 要使成功 就必須以下幾個(gè)條件
1：成功獲取了該域名下的一個(gè)webshell
2：有讀權(quán)限
3：需要入侵的系統(tǒng)采用了session認(rèn)證
4：管理員使用的密碼無法破解
5：可以獲得session驗(yàn)證的語句
6. 同iis用戶
7. 同域名（一級(jí)or二級(jí)）.：
例如 www.sb.cn ，那么二級(jí)域名就可以是這樣： fuck.sb.cn
8. 同目錄

這樣的洞洞是不是很難利用？ 其實(shí)一般小站都用不上 大站才用得上
我曾經(jīng)檢測國內(nèi)某某大學(xué)的時(shí)候 就是靠這洞弄下不少shell 然后提權(quán)之。
所以 事實(shí)證明 session欺騙是存在 但是 利用范圍比較狹窄 一般小站用不上 大站用這方法的話 倒是百試百靈~

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。