Weak Session IDs
前言
弱回会话IDs, (即 Weak Session IDs), 当用户登录后,在服务器就会创建一个会话(session),叫做会话控制,接着访问页面的时候就不用登录,只需要携带Sesion去访问。sessionID作为特定用户访问站点所需要的唯一内容。如果能够计算或轻易猜到该sessionID,则攻击者将可以轻易获取访问权限,无需录直接进入特定用户界面,进而进行其他操作。
Session ID 是什么?
用户访问服务器的时候,在服务器端会创建一个新的会话(Session),会话中会保存用户的状态和相关信息,用于标识用户。
服务器端维护所有在线用户的Session,此时的认证,只需要知道是哪个用户在浏览当前的页面即可。为了告诉服务器应该使
用哪一个Session,浏览器需要把当前用户持有的Session ID告知服务器。用户拿到session id就会加密后保存到 cookies 上,
之后只要cookies随着http请求发送服务器,服务器就知道你是谁了。SessionID一旦在生命周期内被窃取,就等同于账户失窃。
Session利用的实质
由于SessionID是用户登录之后才持有的唯一认证凭证,因此黑客不需要再攻击登陆过程(比如密码),就可以轻易获取访问权
限,无需登录密码直接进入特定用户界面, 进而查找其他漏洞如XSS、文件上传等等。
- Session劫持 :
Session劫持, 是一种通过窃取用户SessionID,使用该SessionID登录进目标账户的攻击方法,此时攻击者实际上是使用
了目标账户的有效Session。如果SessionID是保存在Cookie中的,则这种攻击可以称为Cookie劫持。SessionID还可以保存
在URL中,作为一个请求的一个参数,但是这种方式的安全性难以经受考验。
下面对弱会话IDs漏洞的四种不同等级进行分析:
-
Low
服务端核心代码:
<?php
$html = "";
if ($_SERVER['REQUEST_METHOD'] == "POST") {
if (!isset ($_SESSION['last_session_id'])) {
$_SESSION['last_session_id'] = 0;
}
$_SESSION['last_session_id']++;
$cookie_value = $_SESSION['last_session_id'];
setcookie("dvwaSession", $cookie_value);
}
?>可以看到, 服务端的代码处理Session ID的做法: 先判断是否存在上一次请求的Session ID值, 如果没有则置为0; 反之将上一次的Session ID值+1, 然后作为此次的Session ID。
点击一次Generate, 就产生了一个Session回话 (含cookie)。
漏洞利用
为了演示利用cookie登录的漏洞, 我们现在google chrome上登录dvwa, 并且可以看到页面的Cookie Session规律。
利用刚刚找到的Session规律, 将在google Chrome登录的Cookie (dvwaSession的值+1)作为payload:
dvwaSession=5; security=low; PHPSESSID=bnndu29o7au7fr6hfg143eb2vi我们打另一个游览器----Firefox Chrome, 登录刚刚的页面:
点击Execute, 然后抓包, 将cookie修改为刚刚的payload:
Forward之后, 直接到目标界面, 绕过了界面登录:
即在无登录认证的情况下, 攻击者通过恶意构造Cookie值以及Session ID值来登录界面。
-
Medium
服务端核心代码:
<?php
$html = "";
if ($_SERVER['REQUEST_METHOD'] == "POST") {
$cookie_value = time();
setcookie("dvwaSession", $cookie_value);
}
?>可以看到, 生成的cookie值是当前的时间戳。
漏洞利用
和上一题一样, 点击Generate之后可以看到Cookie值为一串数字:
多点击几次Generate, 发现以秒单位增加, 明显是时间戳:
可以通过工具来转换时间戳:
利用刚刚登录生成的Session ID:
构造一下登录的payload:
dvwaSession=1581229880; security=medium; PHPSESSID=bnndu29o7au7fr6hfg143eb2vi打开另一个游览器---Firefox Chrome, 抓包, 修改cookie登录:
登录成功:
-
High
服务端核心代码:
<?php
$html = "";
if ($_SERVER['REQUEST_METHOD'] == "POST") {
if (!isset ($_SESSION['last_session_id_high'])) {
$_SESSION['last_session_id_high'] = 0;
}
$_SESSION['last_session_id_high']++;
$cookie_value = md5($_SESSION['last_session_id_high']);
setcookie("dvwaSession", $cookie_value, time()+3600, "/vulnerabilities/weak_id/", $_SERVER['HTTP_HOST'], false, false);
}
?>
可以看到, 服务端先查看是否存在上一次的Session ID, 不存在则置为0; 否则+1。
然后再+1后的Session Id值进行 md5 编码:
value 值:last_session_id_high 自增 1,再用 md5 加密 expire 值:当前时间再加一个小时 path 值:/vulnerabilities/weak_id/
漏洞利用
High级别不过是md5加密了Session ID值, 那么我们解密就是了。
抓包查看Session ID:
用工具将其解密:
多Generate, 解密几次, 发现服务器是对依次递增的Session ID值进行md5加密。
打开另一个游览器---FIrefox, 将Session ID的值md5加密:
构造payload:
dvwaSession=eccbc87e4b5ce2fe28308fd9f2a7baf3; security=high; PHPSESSID=bnndu29o7au7fr6hfg143eb2viforward即可登录成功。
-
Impossible
服务端核心代码:
<?php
$html = "";
if ($_SERVER['REQUEST_METHOD'] == "POST") {
$cookie_value = sha1(mt_rand() . time() . "Impossible");
setcookie("dvwaSession", $cookie_value, time()+3600, "/vulnerabilities/weak_id/", $_SERVER['HTTP_HOST'], true, true);
}
?>$cookie_value采用随机数+时间戳+固定字符串"Impossible",再进行sha1运算,完全不能猜测到dvwaSession的值。
Tomcat 的 session id 值生成的策略,是一个随机数+时间+ jvm 的id值(jvm的id值会根据服务器的硬件信息计算得来),如果出现冲突就会再生成一个。
上一篇: iOS Weak
下一篇: PHP序列化和反序列化语法差异问题