危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2306 浏览20612679

管窥Cookie欺骗之害

Cookie的本意是“饼干”,在计算机网络中特指由服务器端生成并发送回给用户端的浏览器,然后保存于特定目录下的文本文件内,下次请求同一网站时就发送该信息给服务器,这样对方就可以知道该用户是否为合法用户以及是否需要重新登录等一改编自“百度百科”。

一、Cookie简介及泄密危害

Cookie文件在我们本地机器的存放位置比较固定,查找的方法是这样的:以360浏览器为例,单击“工具”.“Internet选项”菜单,在弹出的属性窗口“常规”选项卡中点击中间“浏览历史记录”的“设置”按钮,我们就会看到“Internet临时文件和历史记录位置”显示出Cookie等文件的存放位置是“C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files”(危险漫步的系统是Win7)。点击“查看文件”按钮就可以打开该目录,看到N多的Cookie文件和其它临时文件。Cookie文件的本质就是纯文本文件.txt,文件名很让人“见名知义”,其中记录的是本机用户在该网站的登录账号、密码等相关信息。不过,当使用本地的记事本程序打开阅读时会发现其中的信息量并不太多,但可读性很差,而且不同网站所生成的Cookie文件都不尽相同。除了有网站域名信息之外,大多数都是形如“28263913088301909224990844”之类的编码,此时我们可借助IECookiesView来查看究竟。

双击打开IECV.exe,很快它就会从本机的系统临时文件夹取所有的Cookie文件,找到刚才提到的Cookie文件很容易会发现其中的一些敏感信息,比如"UserlD=7636554’和"LserPassword-4e9773eba7 209e205dcS88a728f0e002c’.前者是网站账号的用户ID,后者是其登陆密码的32位MD5加密密码。如果别人在我们的机器上收集到了这样的一些信息的话,是不是就可以在线破解之后拿到我们在对应网站的登录账号了呢?或者,我们在WebShell中是不是也可以找一下这样的Cookie文件来继续扩大入侵的深度呢?当然,不仅存在Cookie文件泄密的隐患,更有甚者,还可以进行Cookie欺骗。

二、冒名顶替,论坛新人转眼就是管理员

以某研究所的论坛为例,单击“注册”按钮,填入必要的信息(用户名:mxd7788),完成之后接着点击“请先登陆”,输入刚才注册的用户名和密码,在这儿特别要注意最下面的“Cookie选项”,不能选择第一项“不保存,关闭浏览器就失效”,比如选择“保存一月”(也有不少论坛是“记住我的登录状态”项),这样就可以在本地生成对应的Cookie文件,再点击“登陆”按钮。

再次打开IECV,在“网址”中直接就显示出该网站论坛的URL。(之前进行了Cookie清理,故只有一个目标),单击选中后到下面的键名处右键单击,从弹出的快捷菜单中选择“编辑Cookie内容”开始进行Cookie欺骗~一就是把其中的“username-”后面的“mxd7788”(刚注册的账号)更改为想欺骗的超级版主名称。一般情况下是“admin”,可以到论坛上转一下看看,这个论坛的管理员是“webmaster”,等级状态为“总版主”。由此,将该键值下的“mxd7788”更改为“webmaster”,然后单击下面的“确认修改”按钮。现在重新关闭浏览器后再次访问一下(目的是为了让修改的Cookie信息有效),左上角的欢迎信息已经变成了/,“欢迎您,webmaster”,说明Cookie欺骗已经起作用了。

三、Cookie注射骗出管理账号和密码

以某企业网站管理系统为例,在其首页中点击“企业新闻”进入子版面,然后点击第一条记录在360浏览器的新标签中。待该新闻正常显示完毕之后,先清空地址栏中的URL信息,再将Cookie欺骗注入代码执行“粘贴并访问”操作,此时会有“来自网页的消息”的提示,点击“确定”按钮。接着,再次返回到“企业新闻”子版面中重新点击该新闻,然后在地址栏中最后的“?id=728”删除,只保留前面的进行访问。看到了吧,管理账号及MD5密码都被欺骗出来了:"13961534691、16f239bcf676684d”,账号竟然还是个手机号码。然后在线破解一下"16f239bcf676684d”,得到其结果是“804047”。

最后到它的后台验证一下,分别将“用户名称”、“用户密码”和“验证码”输入之后登录,成功进入后台管理页面,说明刚才的Cook/e注入欺骗是有效的。