[ 永遠的UNIX::UNIX技術資料的寶庫 ]   GB | BIG5
首頁 > 安全技術 > 程序 > 正文
cookie欺騙
本文出自:http://sunviva.yeah.net 作者: 不詳 (2002-11-27 06:02:00)

現在有很多社區網為了方便網友瀏覽,都使用了cookie技術以避免多次輸入密碼(就如the9
和vr),所以只要對服務器遞交給用戶的cookie進行改寫就可以達到欺騙服務程序的目的。
 

COOKIE欺騙原理 
按照瀏覽器的約定,只有來自同一域名的cookie才可以讀寫,而cookie只是瀏覽器的,對通
訊協議無影響,所以要進行cookie欺騙可以有多種途徑: 
1、跳過瀏覽器,直接對通訊數據改寫 
2、修改瀏覽器,讓瀏覽器從本地可以讀寫任意域名cookie 
3、使用簽名腳本,讓瀏覽器從本地可以讀寫任意域名cookie(有安全問題) 
4、欺騙瀏覽器,讓瀏覽器獲得假的域名 
其中: 
方法1、2需要較專業的編程知識,對普通用戶不太合適。 
方法3的實現有2種方法: 
1、直接使用簽名腳本,不需要簽名驗証,但是產生很嚴重的安全問題,因為大家都要上網
的,如果這樣做你的硬盤文件就…… 
2、對腳本進行簽名再使用簽名腳本,但是需要專用的數字簽名工具,對普通用戶也不合
適。 
方法4看樣子應該是最合適的了,域名欺騙很簡單,也不需要什工具(當然如果你的機器
裝有web服務器那更好了),下面我以the9為例,以這種方法為基礎,闡述一下cookie欺騙的
過程(下文中提到的任何服務端的bug,the9都已經做了改進,所以本文對the9無安全方面的
影響): 

注:我們討論的cookie是那種不會在硬盤的cookie文件裡留下蹤跡的cookie,就是那種只在
瀏覽器生存周期內(會話)產生的cookie,如果瀏覽器關閉(會話結束)那這個cookie就
被刪了!  

COOKIE欺騙實戰 
the9在登陸的時候會返回3個cookie(這可把瀏覽器的警告cookie選項打開時看到): 
cgl_random(隨即序列號):登陸識別的記號 
cgl_loginname(登陸名):身份的識別記號 
cgl_areaid(小區號):你居住的小區號碼 
只要把cgl_loginname填入正確的登陸名,再對cgl_random進行修改,就可以達到欺騙服務程
序的目的。 

一般欺騙php程序的字符串為: 
1''or''1''=''1 
把這個填入cgl_random,服務程序就被欺騙了! 
因為服務程序不太可能對cookie進行語法檢查(the9現在改進了),那把這個字符串填入
,就可以成功的欺騙對方程序,而達到突破的目的了! 

現在的問題是,如何使瀏覽器把這個我改過的cookie返回給the9? 
看一看the9的域名吧:http://www.the9.com/,而瀏覽器的cookie警告已經告訴了我們這3
個cookie會返回給有.the9.com這個域名的服務器,哎?我的機器上正好有web服務器,那
動手吧! 
先編一個設置cookie的html,就叫cookie.htm吧,然把這個cookie放進web目錄,這樣還不
行,因為我的機器的域名沒設,那設置host的名字,可是如果在網絡設置中進行設置的話
,機器要重啟動的,還是想想別的簡單的辦法吧! 
然我們應該編輯hosts文件,這個文件應該在windows目錄下,你有可能找不到它,但是如
果你找到了hosts.sam文件,那把它面的擴展名去掉,就是我們要的文件了! 
編輯hosts文件,填入以下一行: 
127.0.0.1 www0.the9.com 
解釋一下,127.0.0.1是本機的lo地址,可以用做web地址,而www0.the9.com就是我們欺騙產
生的域名。 
然在瀏覽器中輸入http://www0.the9.com/cookie.htm,看,頁面出來了,快設置cookie吧
! 
直接訪問http;//www.the9.com/main.htm看看,不錯吧! 

但是不是所有的網友都有自己的web服務器啊!那怎辦呢? 
其實如果你有個人主頁的話,也可以達到cookie欺騙的目的,比如某個個人主頁的服務器的
ip地址是1.2.3.4,先上傳cookie.htm文件,再編輯hosts文件: 
1.2.3.4 www0.the9.com 
然訪問http://www0.the9.com/***/cookie.htm,其中***是你個人主頁的地址目錄。 

對了我作了個工具在我的主頁上,現在公開一下,http://home.etang.com/fsl/9the/,大家
知道該怎做了吧?嘿嘿,不過你那樣設置是沒有用的,要這樣編輯hosts: 
etang的ip www.the9.com 
the9的ip www0.the9.com 
為什要這樣呢?我等會會告訴大家的 


 
繼續the9的cookie討論,還有2個cookie: 
cgl_mainshowinfo(個人信息) 
cgl_showinfo_changed(意義不知) 
由第二個cookie不知道是什,所以就討論第一個。 
第一個cookie存放著你在the9的名字、稱號、居住的小區、街道、是否有工作、星級、門牌
號等的信息(目前只知道這些,其余的信息不知其意義,具體格式就讓給大家去分析了),
但是中文都escape過了,如果你用的不是netscpae而是ie的話,不能用unescape得知其信息
,因為ie對雙字節採用unicode而不採用ascii,如果哪天the9也支持unicode就好了!:),
但是其他網站站長注意了,你們可通過cgi的形式把這些the9居民信息抓過來實現數據共享!
哈哈……,如果你們真要這做,就只有使用簽名腳本了,總不能讓別人編輯hosts吧(不過
得注意版權哦!)? 

ie的cookie漏洞: 
如果你用的是ie的話,由ie本身的漏洞,你大可不必編輯hosts,就可以同樣做到讀寫別的
域名的cookie,你可以使用以下的方法欺騙ie(具體的可以去www.cookiecentral.com看看)
: 
假設你的主頁文件為http://a.com/cookie.htm, 
使用以下url: http://a%2Ecom%2Fcookie%2Ehtm%3F.the9.com 
如果直接輸在瀏覽器地址欄裡不行,就作個script,把location的值設為這個就可以了! 
這個地址轉換應該是這樣的: http://a.com/cookie.htm?.the9.com 
由ie的bug,誤把前面那個的域名以為是.the9.com了! 

hosts文件解釋 
hosts文件實際上可以看成一個本機的dns系統,它可以負責把域名解釋成ip地址,它的優先
權比dns服務器要高,它的具體實現是TCP/IP協議中的一部分。 
如果有這一行: 
202.109.110.3 www.the9.com 
那在輸入www.the9.com時,網絡協議會首先檢查hosts文件找到匹配的,如果找不到再去d
ns查,這樣你訪問www.the9.com實際上是訪問202.109.110.3,而不是通常的202.109.110.2
。 
注:由緩存的作用,如果開著瀏覽器編輯hosts的話,hosts裡的內容有可能不會當場生效
,你可以重新啟動瀏覽器或等一會時間再試一下! 

關REFERER的欺騙(這個雖然不屬cookie欺騙,但是懶得再寫一篇,就歸在一起
了) 
referer是http頭,它的作用是簽定用戶是從何處引用連接的,在the9,服務程序就充分利用
了這一點,如過你是手動輸入url的話,那referer不會設任何值,服務程序就返回什“
投機取巧”的字樣! 
由我們前面對瀏覽器進行了域名欺騙,那referer也被欺騙了,但是服務程序對referer
是整個主機名檢查,所以www0.the9.com的域名就欺騙不了服務器,所以得用www.the9.com欺
騙,那還得設一個域名方便我們訪問the9,而且還得讓cookie返回給這個真的the9,那
就用www0.the9.com吧!(這回知道前面訪問我主頁工具時要那樣編輯hosts了吧?) 
如果你用了這個方法的話,那你就不能直接點擊the9的連接,而得用工具中的地址欺騙來
進行訪問,至這樣做的好處,大家自己找找吧,我就不想詳細說了,太累了! 

關netvampire: 
這個下載工具大家都知道吧?那它的3.3版大家用過嗎?很棒的!因為它可以直接讓大家改
變下載連接的referer,而且它還能繼承瀏覽器的cookie,把cookie返回給服務端(不過coo
kie不能改,如果能改的話,這個工具就太………………) 

記 
好了關cookie及referer就說到這了,在這個星期以前利用cookie欺騙的話the9的門戶可是
大開的(當然似乎還有通用密碼什的),不過the9雖然改進了,我不能保証其他社區網也
改進了,當然本文只是探討技術,不負什法律責任

 


   (http://www.fanqiang.com)     進入【UNIX論壇
相關文章
實現跨域名Cookie (2002-03-27 06:02:01)
CGI編程的COOKIE技術應用 (2001-08-24 07:00:00)
cookie模組 (2001-06-03 11:00:00)
 

★  樊強制作 歡迎分享  ★