前言
本篇文章只是为了和大家分享漏洞的挖掘经验和思路,同时让大家认识到 Cookies 欺骗漏洞的危害和严重性。
漏洞发现时间:2017.8.16,因产商无回应,漏洞至今仍未修复
环境搭建
工具
小旋风ASP服务器
http://www.jb51.net/softs/35167.html#download
60度CMS
搭建
安装好小旋风ASP服务器后,把60度CMS的所有文件复制到小旋风ASP服务器的site8001目录下,然后访问http://localhost:8001即可。
源码分析
我们先看一下后台登录页面(login.asp)的源代码
action=replace(trim(request("Action")),"'","''") if action="logout" then session("cmsid") = "" session("cmsname") = "" response.Cookies("cmsname") = "" response.Cookies("cmsid") = ""
得知登录页面的两个Cookies值分别为cmsname和cmsid
接着往下看
if code <> session("code") then showmsg "验证码错误!","login.asp" end if set rs = conn.execute("select * from 60du_Admin where AdminName = '"&ReplaceBadChar(username)&"' and Password = '"&md5(password,32)&"'")
if rs.eof then showmsg "用户名或密码错误!","login.asp" elseif rs("IsActive")=1 then showmsg "你的用户名已被锁定,你不能登陆!请联系管理员。","login.asp" else session("cmsid") = rs("id")
session("cmsname") = rs("AdminName")
response.Cookies("cmsname") = rs("AdminName")
response.Cookies("cmsid") = rs("id")
ip=Request.ServerVariables("REMOTE_ADDR")
Call conn.execute("update 60du_Admin set LoginTime='"&Now()&"',LoginIP='"&ip&"' where AdminName='"&username&"'",0)
Call InsertLog(1, 0, UserName, ip, "登录成功", ComeUrl, "")
showmsg 0,"index.asp"
可以看到,网页会把输入的管理员帐号和管理员ID分别赋值给cmsname和cmsid这两个cookies值
如果密码正确就会跳转到后台首页
并添加上述的两个cookies值
这时我们再来看一下后台首页(index.asp)的源代码
发现头部引用了check.asp文件
找到并打开看看
发现这是检查用户登录状态的文件,源代码如下
<!--#include file="../inc/md5.asp"--><%
'判断用户是否登陆
if session("cmsname")="" and instr(CStr(Request.ServerVariables("SCRIPT_NAME")),site_install&AdminPath&"/login.asp")=0 then
if ReplaceBadChar(Trim(request.Cookies("cmsname")))="" then
response.Redirect(site_install&AdminPath&"/login.asp")
elseif Session("admin_id") =null then
Response.Write("<script>alert('登陆超时!');parent.location = '"&site_install&AdminPath&"/login.asp';</script>")
else
ReplaceBadChar(Trim(session("cmsname")))=ReplaceBadChar(Trim(request.Cookies("cmsname")))
ReplaceBadChar(Trim(session("cmsid")))=ReplaceBadChar(Trim(request.Cookies("cmsid")))
end if
end if
%>
可以看到,网页虽然有验证用户登录状态,但只仅仅验证了Cookies的内容
只要两个Cookies的内容都对得上,就能访问后台首页
于是,造成了一个典型的Cookies欺骗漏洞
60度CMS的默认管理员为admin,默认管理员ID为1
所以只要根据这两个信息创建Cookies,我们就可以通过伪造Cookies来实现越权访问后台
漏洞利用
访问后台登录页面
使用firebug添加两个Cookies及其内容
分别是:cmsname=admin;cmsid=1
注意这里的日期一定要修改(比如说修改为2018年),否则Cookies无法添加
接着访问后台首页(index.asp),发现已经绕过验证,成功访问了后台主页,实现了Cookies欺骗。
挖掘经验
挖掘Cookies欺骗漏洞时,可以查看登录页面和主页面的源代码,找到有关验证用户身份的源代码,查看是否存在欺骗的可能。
总结
现在大家应该都已经了解,Cookies欺骗漏洞的危害非常大,所以Cookies欺骗漏洞是一定要防范的。
既然 Cookies 是不安全的,而我们又必须把用户登录信息存储下来,那么应该存储在什么地方呢? 我们注意到,在 ASP 中,除了 Cookies 外,还有 Session 可以储存信息。Session 是储存在服务器上的,不是客户端随随便便就能够更改的,所以具有极高的安全性。这样,大家就可以把所有 Cookies 的代码均换作 Session 了。
- 上一篇:黑帽SEO剖析之手法篇
- 下一篇:基于Google搜索结果的命令行漏洞扫描工具
猜你还喜欢
- 06-09深入理解JAVA反序列化漏洞
- 08-12cmseasy前台无需登录直接获取敏感数据的SQL注入(有POC证明)
- 11-28CVE-2017-11882漏洞复现和利用
- 11-10利用Thinkphp 5缓存漏洞实现前台Getshell
- 08-04php安全代码审计小结
- 01-02PHPCMS后台”空降”管理员CSRF漏洞分析
- 01-02某CMS注入分析及注入点总结
- 11-30PHP 函数漏洞总结
- 11-30PHP渗透中的奇淫技巧--检查相等时的漏洞
- 11-15某开源框架从注入到Getshell
- 随机文章
-
- 黑灰产的廉价“温床”—跑分平台
- Nuclei:一款快速自定义模板扫描工具
- Django初次尝试编写Web漏洞扫描器挖坑记录
- SRC漏洞挖掘信息收集与挖掘技巧
- php 反序列化 魔术方法
- 挖洞经验 | 雷蛇电子钱包APP漏洞分析
- DEDECMS伪随机漏洞 (二) :Cookie算法与Rootkey随机强度分析
- Linux常见的持久化后门汇总
- 2020应急响应实战指南
- 实战笔记—滑动验证码攻防对抗
- HW弹药库之红队作战手册
- 一行代码引来的安全漏洞就让我们丢失了整个服务器的控制权
- 简述获取shellcode的几种方式
- Java命令注入原理并结合Java Instrument技术
- 菜刀连接PHP WebShell返回200错误
- 【奇技淫巧】记一次实战access注入绕过安全狗
- 各种提权姿势总结
- CVE-2020-5410 Spring Cloud Config目录穿越漏洞
- 利用WAF进行拒绝服务攻击
- 技术讨论 | Exchange后渗透分析下篇
- 热门文章
-
- 八年专业安全团队承接渗透入侵维护服务
- Emlog黑客站模板“Milw0rm”发布
- Stuxnet纪录片-零日 Zero.Days (2016)【中文字幕】
- SQLMAP的注入命令以及使用方法
- 白帽故事汇:网络安全战士从来不是「男生」的专利
- 编辑器漏洞手册
- web安全之如何全面发现系统后台
- 常见Web源码泄露总结
- 渗透测试培训(第五期)
- 深入理解JAVA反序列化漏洞
- cmseasy前台无需登录直接获取敏感数据的SQL注入(有POC证明)
- 网站后台登陆万能密码
- 黑麒麟2016渗透培训系列教程
- 破解emlog收费模板“Begin”
- 那些强悍的PHP一句话后门
- Android平台渗透测试套件zANTI v2.5发布(含详细说明)
- 渗透工具BackTrack与KaliLinux全套视频教程
- Python列为黑客应该学的四种编程语言之一 初学者该怎么学
- CVE-2017-11882漏洞复现和利用
- 恶意程序报告在线查询工具
文章存档
- 2020年12月(4)
- 2020年11月(5)
- 2020年10月(8)
- 2020年9月(8)
- 2020年8月(20)
- 2020年7月(47)
- 2020年6月(70)
- 2020年5月(41)
- 2020年4月(21)
- 2020年3月(120)
- 2020年2月(26)
- 2019年12月(12)
- 2019年11月(13)
- 2019年10月(17)
- 2019年9月(15)
- 2019年8月(13)
- 2019年7月(15)
- 2019年6月(15)
- 2019年5月(19)
- 2019年4月(23)
- 2019年3月(19)
- 2019年2月(11)
- 2019年1月(29)
- 2018年12月(24)
- 2018年11月(56)
- 2018年10月(79)
- 2018年9月(20)
- 2018年8月(17)
- 2018年7月(16)
- 2018年6月(7)
- 2018年5月(10)
- 2018年3月(6)
- 2018年2月(2)
- 2018年1月(11)
- 2017年11月(18)
- 2017年10月(6)
- 2017年9月(8)
- 2017年8月(7)
- 2017年7月(7)
- 2017年6月(15)
- 2017年5月(30)
- 2017年4月(7)
- 2017年3月(1)
- 2017年2月(4)
- 2017年1月(1)
- 2016年12月(3)
- 2016年11月(7)
- 2016年10月(6)
- 2016年9月(6)
- 2016年8月(102)
- 2016年7月(24)
- 2013年7月(1)
- 文章标签
-