Web應用程序是通過2種方式來判斷和跟蹤不同用戶的：Cookie或者Session（也叫做會話型Cookie）。其中Cookie是存儲在本地計算機上的，過期時間很長，所以針對Cookie的攻擊手段一般是盜取用戶Cookie然后偽造Cookie冒充該用戶；而Session由于其存在于服務端，隨著會話的注銷而失效（很快過期），往往難于利用。所以一般來說Session認證較之Cookie認證安全。
當然啦，Session難于利用并不等于不能利用，本文將通過一個小小的例子實現(xiàn)一次簡單的HTTP會話劫持。
還是以ASP為例，ASP程序是如何得到客戶端Session的呢？通過抓包可以發(fā)現(xiàn)HTTP請求的Cookie字段有個ASPSESSIONIDXXXXXXXX（X是隨機的字母）值，ASP程序就是通過這個值判斷Session的。如果我們得到管理員的ASPSESSIONIDXXXXXXXX及其值，并在這次會話結束之前提交到服務器，那么我們的身份就是管理員啦！
那怎么得到Session呢？答案是跨站。因為JavaScript的document.cookie()方法會把Cookie讀出來，當然也包括會話型Cookie。
如果你關注Web安全，相信你一定看到過記錄跨站得到Cookie的腳本程序，我們也需要一個類似的程序，但功能不是記錄，而是立即轉發(fā)（因為當前會話隨時可能由于管理員退出而失效）。這個程序可以用ASP、PHP、Perl甚至C來實現(xiàn)，我還是用ASP吧J
要寫這個程序，你還必須對要攻擊的程序相當了解，因為你要提交各種請求。那現(xiàn)在先看看本例中被跨站的程序吧。
很榮幸，我選中了WebAdmin 1.4，嘿嘿，自己寫的程序自己肯定最清楚哪里有漏洞啊。呵呵，簡要介紹一下，WebAdmin是一個ASP.Net下的webshell，使用的Session認證方式，1.4版本的跨站存在于目錄瀏覽的URL（圖1）。

所以我就在src中構造這樣的路徑：“E:a=’’;document.write(a);”。這段代碼就是把當前cookie作為參數(shù)提交給www.0x54.org/test/cc.asp文件。
cc.asp文件內容如下：
該文件目的是獲取管理員Session并利用WebAdmin的文件編輯功能查看222.210.115.125（被攻擊的Web服務器，其實是我本機啦）的E:\MyWeb\webadmin.aspx文件內容并把內容保存到本地的a.txt文件中。數(shù)據(jù)的提交使用的是ServerXMLHTTP組件，它與XMLHTTP有相似之處，也有異同，具體的可以看看《ServerXMLHTTP vs XMLHTTP》。
準備就緒，先登陸WebAdmin然后再訪問構造好的跨站URL，呵呵，然后去看http://www.0x54.org/test/a.txt，得到內容如下圖所示：

你也可以試試直接訪問cc.asp，呵呵，生成的a.txt將是一個登陸界面的源文件。
哈哈，現(xiàn)在熱烈慶祝一下本次HTTP會話劫持測試勝利閉幕，總的來說實行一次這樣的攻擊難度還是很大的，不過話又說回來，在技術這塊領域，除了Copy人家的代碼，還有不需要努力就能做好的事情嗎？

最新評論