搜索
查看: 737|回复: 0

关于新型漏洞https cookie注入漏洞攻击剖析

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2015-9-30 20:19:13 | 显示全部楼层 |阅读模式
0x01 什么是cookie?

主要是验证用户的身份的唯一标识。

0x02 cookie注入的原理是什么?

既然是cookie注入,不管是http,还是https协议,其实就是对cookie进行的伪造,修改,达到欺骗服务器目的。这里的注入是伪造修改,同sql中的cookie注入无关。

0x03 http中cookie伪造的常见场景
1.利用xss盗取用户cookie,盗取cookie后可以直接在客户端伪造cookie进行登陆。
2.cookie是可以预测的,伪造客户端端cookie可以进行登陆。
3.内网劫持得到用户cookie,盗取cookie后可以直接在客户端cookie伪造登录。
由此可见http中获取的用户cookie后的攻击方式是直接登录就行。


0x04 https中cookie盗取伪造的常见场景
1.利用xss盗取用户cookie,盗取cookie后在客户端伪造cookie,由于https是加密的,伪造后无法进行登录。
2.cookie是可以预测的,伪造客户端端cookie无法进行登录。(https加密无法伪造连接)
3.内网劫持得到用户cookie,盗取cookie后无法进行登录。(https加密无法伪造连接)
有上可知,即使你得到了cookie,由于https协议,也不能登录,也没什么卵用。
因此,黑客们就开始找获取cookie进行https登录的猥琐方法。

0x05 cookie的组成和特性
cookie的组成

[name,domain,path]: 唯一的确定cookie
name,domain,path任何一个值不同,则cookie也不相同。

domain向上通配特性
页面http://www.bank.com向客户端设置cookie时,
Set-Cookie: user1 = admin; domain=.bank.com; path=/;
利用上面的cookie访问http://user.bank.com时,cookie仍然有效。
利用上面的cookie访问http://123.user.bank.com时,cookie仍然有效。
也就是说只要是bank.com的子域名,这个cookie是通用的。

path向下通配特性
页面http://www.bank.com向客户端设置cookie时,
Set-Cookie: user1 = admin; domain=.bank.com; path=/;
就利用上面的cookie访问http://www.bank.com/buy/时,cookie仍然有效的。
就利用上面的cookie访问http://www.bank.com/buy/aa/时,cookie仍然有效的。
也就是说只要是www.bank.com域名下的路径,这个cookie是有效的。

0x06 利用这些特性攻击的过程
攻击方法一
首先我们劫持了用户的cookie,得到cookie了无法登陆https拿太坑了,看看能不能利用cookie的特性进行修改cookie .
我们劫持了用户的cookie,先看cookie是哪个网站的,例如https://bank.com
我们得到的一个cookie如下Set-Cookie:session=test;domain=.bank.com;path=/;
我们现在就可以利用Cookie:session=test去访问bank.com下的非http的网站如http://user.bank.com
这个网站可以用session=test这个cookie访问的,这样我们就可以利用劫持的cookie登录user.bank.com这个网站的用户。
这样的攻击感觉不过瘾,还是不能攻击https的网站啊。看一看攻击方法二
攻击方法二
比如劫持到了https://bank.com下的用户的cookie,那么我们先在这个网站注册一个合法用户test。
利用test用户登录去访问这个网站得到的cookie是Set-Cookie:session=test;domain=.bank.com;path=/;Secure;

那么我们可以利用注册的用户去登录http://user.bank.com这个网站,这个网站也会返回一个cookie
Set-Cookie:session=test;domain=.bank.com;path=/;Secure; 这个cookie也是服务器的response返回值,我们可以拦截
修改返回值,任意修复cookie,那么我们就把它修改为劫持到用户的cookie,
Set-Cookie:session=attacker;domain=.bank.com;path=/;Secure;
cookie返回到客户端,也就是我们修改后的cookie,这时候我们再利用这个cookie访问https://bank.com这个网站,发现就变成
了attacker这个用户的操作界面,也就是我们劫持的用户,登陆了https下的网站,我们就大功告成了。


0x07 其他cookie特性
path越长,优先级越高
Set-Cookie:session=bob; domain=.user.bank.com; path= /;
Set-Cookie:session=attacker;domain=.bank.com; path=/admin; 优先访问。
也就是说谁的path长先访问谁。
创建时间越早,优先级越高
Set-Cookie:session=bob; domain=.user.bank.com; path= /;
Set-Cookie:session=attacker;domain=.bank.com; path=/; expires =Mon, 1,Jan 1970; 优先访问
attacker最先创建优先访问。

参考:Kcon大会议题CooKie之困
过段时间可能会取消签到功能了
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表