mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
Translated ['src/pentesting-web/hacking-with-cookies/README.md'] to zh
This commit is contained in:
Translator
parent
3b18741082
commit
1a3a7ddfc1
@ -93,7 +93,7 @@ cookie-jar-overflow.md
|
||||
|
||||
<figure><img src="../../images/image (6) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
|
||||
|
||||
或者在 PHP 中,可以在 cookie 名称的开头添加 **其他字符**,这些字符将被 **替换为下划线**,允许覆盖 `__HOST-` cookies:
|
||||
或者在 PHP 中,可以在 cookie 名称的开头添加 **其他字符**,这些字符将被 **替换为下划线** 字符,从而允许覆盖 `__HOST-` cookies:
|
||||
|
||||
<figure><img src="../../images/image (7) (1) (1) (1) (1).png" alt="" width="373"><figcaption></figcaption></figure>
|
||||
|
||||
@ -113,7 +113,7 @@ cookie-jar-overflow.md
|
||||
|
||||
在这种情况下,攻击者诱使受害者使用特定的 cookie 登录。如果应用程序在登录时不分配新 cookie,攻击者持有原始 cookie,可以冒充受害者。此技术依赖于受害者使用攻击者提供的 cookie 登录。
|
||||
|
||||
如果您在子域中发现 **XSS** 或您 **控制一个子域**,请阅读:
|
||||
如果您在 **子域中发现了 XSS** 或您 **控制一个子域**,请阅读:
|
||||
|
||||
{{#ref}}
|
||||
cookie-tossing.md
|
||||
@ -123,7 +123,7 @@ cookie-tossing.md
|
||||
|
||||
在这里,攻击者说服受害者使用攻击者的会话 cookie。受害者相信他们已登录自己的帐户,将无意中在攻击者的帐户上下文中执行操作。
|
||||
|
||||
如果您在子域中发现 **XSS** 或您 **控制一个子域**,请阅读:
|
||||
如果您在 **子域中发现了 XSS** 或您 **控制一个子域**,请阅读:
|
||||
|
||||
{{#ref}}
|
||||
cookie-tossing.md
|
||||
@ -133,7 +133,7 @@ cookie-tossing.md
|
||||
|
||||
点击上面的链接访问解释 JWT 可能存在缺陷的页面。
|
||||
|
||||
用于 cookie 的 JSON Web Tokens (JWT) 也可能存在漏洞。有关潜在缺陷及其利用方式的详细信息,建议访问有关黑客 JWT 的链接文档。
|
||||
用于 cookie 的 JSON Web Tokens (JWT) 也可能存在漏洞。有关潜在缺陷及其利用方式的深入信息,建议访问链接的文档以进行 JWT 黑客攻击。
|
||||
|
||||
### Cross-Site Request Forgery (CSRF)
|
||||
|
||||
@ -147,7 +147,7 @@ document.cookie = "a=v1"
|
||||
document.cookie = "=test value;" // Setting an empty named cookie
|
||||
document.cookie = "b=v2"
|
||||
```
|
||||
发送的 cookie 头中的结果是 `a=v1; test value; b=v2;`。有趣的是,如果设置了一个空名称的 cookie,这允许对 cookies 进行操控,通过将空 cookie 设置为特定值,可能控制其他 cookies:
|
||||
在发送的 cookie 头中的结果是 `a=v1; test value; b=v2;`。有趣的是,如果设置了一个空名称的 cookie,这允许对 cookies 进行操控,通过将空 cookie 设置为特定值,可能控制其他 cookies:
|
||||
```js
|
||||
function setCookie(name, value) {
|
||||
document.cookie = `${name}=${value}`
|
||||
@ -159,7 +159,7 @@ setCookie("", "a=b") // Setting the empty cookie modifies another cookie's value
|
||||
|
||||
#### Chrome Bug: Unicode Surrogate Codepoint Issue
|
||||
|
||||
在 Chrome 中,如果 Unicode 代理代码点是设置的 cookie 的一部分,`document.cookie` 将变得损坏,随后返回一个空字符串:
|
||||
在 Chrome 中,如果 Unicode 代理代码点是设置的 cookie 的一部分,`document.cookie` 会变得损坏,随后返回一个空字符串:
|
||||
```js
|
||||
document.cookie = "\ud800=meep"
|
||||
```
|
||||
@ -167,7 +167,7 @@ document.cookie = "\ud800=meep"
|
||||
|
||||
#### 由于解析问题导致的 Cookie 走私
|
||||
|
||||
(查看[原始研究](https://blog.ankursundara.com/cookie-bugs/)的更多细节)包括 Java(Jetty、TomCat、Undertow)和 Python(Zope、cherrypy、web.py、aiohttp、bottle、webob)在内的多个网络服务器,由于对过时的 RFC2965 支持,错误处理 cookie 字符串。它们将带有双引号的 cookie 值视为单个值,即使它包含分号,而分号通常应分隔键值对:
|
||||
(查看[原始研究](https://blog.ankursundara.com/cookie-bugs/)的更多细节) 一些网络服务器,包括 Java(Jetty, TomCat, Undertow)和 Python(Zope, cherrypy, web.py, aiohttp, bottle, webob),由于对过时的 RFC2965 支持,错误处理 cookie 字符串。它们将双引号的 cookie 值视为单个值,即使它包含分号,而分号通常应分隔键值对:
|
||||
```
|
||||
RENDER_TEXT="hello world; JSESSIONID=13371337; ASDF=end";
|
||||
```
|
||||
@ -189,15 +189,16 @@ RENDER_TEXT="hello world; JSESSIONID=13371337; ASDF=end";
|
||||
|
||||
#### Cookie Sandwich Attack
|
||||
|
||||
根据[**这篇博客**](https://portswigger.net/research/stealing-httponly-cookies-with-the-cookie-sandwich-technique),可以使用 cookie sandwich 技术来窃取 HttpOnly cookies。以下是要求和步骤:
|
||||
根据[**这篇博客**](https://portswigger.net/research/stealing-httponly-cookies-with-the-cookie-sandwich-technique),可以使用 cookie 三明治技术来窃取 HttpOnly cookies。以下是要求和步骤:
|
||||
|
||||
- 找到一个明显无用的 **cookie 在响应中被反射的地方**
|
||||
- **创建一个名为 `$Version`** 的 cookie,值为 `1`(你可以在 JS 的 XSS 攻击中做到这一点),并使用更具体的路径以获取初始位置(一些框架如 Python 不需要这一步)
|
||||
- **创建被反射的 cookie**,其值留有 **开放的双引号**,并使用特定路径以便在 cookie 数据库中位于前一个 cookie (`$Version`) 之后
|
||||
- 然后,合法的 cookie 将按顺序紧随其后
|
||||
- **创建一个虚拟 cookie 来关闭双引号** 在其值内
|
||||
- **创建被反射的 cookie**,其值留下一个 **开放的双引号**,并使用特定路径以便在 cookie 数据库中位于前一个 cookie (`$Version`) 之后
|
||||
- 然后,合法的 cookie 将按顺序排在后面
|
||||
- **创建一个虚拟 cookie 来关闭双引号** 在其值中
|
||||
|
||||
这样,受害者的 cookie 就会被困在新的 cookie 版本 1 中,并将在每次反射时被反射。
|
||||
例如,来自帖子:
|
||||
```javascript
|
||||
document.cookie = `$Version=1;`;
|
||||
document.cookie = `param1="start`;
|
||||
@ -212,14 +213,14 @@ document.cookie = `param2=end";`;
|
||||
|
||||
#### 使用引号字符串编码绕过值分析
|
||||
|
||||
此解析指示在 cookies 内部取消转义已转义的值,因此 "\a" 变为 "a"。这对于绕过 WAFS 很有用,如下所示:
|
||||
此解析指示取消转义 cookies 中的转义值,因此 "\a" 变为 "a"。这对于绕过 WAFS 很有用,例如:
|
||||
|
||||
- `eval('test') => forbidden`
|
||||
- `"\e\v\a\l\(\'\t\e\s\t\'\)" => allowed`
|
||||
|
||||
#### 绕过 cookie 名称黑名单
|
||||
|
||||
在 RFC2109 中指出 **逗号可以用作 cookie 值之间的分隔符**。并且在等号前后也可以添加 **空格和制表符**。因此,像 `$Version=1; foo=bar, abc = qux` 的 cookie 不会生成 cookie `"foo":"bar, admin = qux"`,而是生成 cookies `foo":"bar"` 和 `"admin":"qux"`。注意生成了 2 个 cookies,以及 admin 在等号前后去掉了空格。
|
||||
在 RFC2109 中指出 **逗号可以用作 cookie 值之间的分隔符**。而且在等号前后也可以添加 **空格和制表符**。因此,像 `$Version=1; foo=bar, abc = qux` 的 cookie 不会生成 cookie `"foo":"bar, admin = qux"`,而是生成 cookies `foo":"bar"` 和 `"admin":"qux"`。注意生成了 2 个 cookies,以及 admin 在等号前后去掉了空格。
|
||||
|
||||
#### 使用 cookie 拆分绕过值分析
|
||||
|
||||
@ -246,7 +247,7 @@ Resulting cookie: name=eval('test//, comment') => allowed
|
||||
- 尝试在 2 个设备(或浏览器)上使用相同的 cookie 登录同一账户。
|
||||
- 检查 cookie 中是否有任何信息并尝试修改它。
|
||||
- 尝试创建多个几乎相同用户名的账户,并检查是否可以看到相似之处。
|
||||
- 检查是否存在 "**记住我**" 选项以了解其工作原理。如果存在且可能存在漏洞,请始终使用 "**记住我**" 的 cookie,而不使用其他 cookie。
|
||||
- 检查是否存在 "**记住我**" 选项以了解其工作原理。如果存在且可能存在漏洞,始终使用 "**记住我**" 的 cookie,而不使用其他 cookie。
|
||||
- 检查即使在更改密码后,之前的 cookie 是否仍然有效。
|
||||
|
||||
#### **高级 cookie 攻击**
|
||||
@ -275,30 +276,30 @@ Padbuster 将进行多次尝试,并会询问您哪个条件是错误条件(
|
||||
```
|
||||
padbuster http://web.com/index.php 1dMjA5hfXh0jenxJQ0iW6QXKkzAGIWsiDAKV3UwJPT2lBP+zAD0D0w== 8 -cookies thecookie=1dMjA5hfXh0jenxJQ0iW6QXKkzAGIWsiDAKV3UwJPT2lBP+zAD0D0w== -plaintext user=administrator
|
||||
```
|
||||
此执行将正确加密和编码 cookie,并在其中包含字符串 **user=administrator**。
|
||||
此执行将正确加密和编码包含字符串 **user=administrator** 的 cookie。
|
||||
|
||||
**CBC-MAC**
|
||||
|
||||
也许一个 cookie 可以有某个值,并可以使用 CBC 签名。然后,值的完整性是通过使用相同值的 CBC 创建的签名。由于建议使用空向量作为 IV,这种完整性检查可能会存在漏洞。
|
||||
也许一个 cookie 可以有某个值,并且可以使用 CBC 签名。然后,值的完整性是通过使用相同值的 CBC 创建的签名。由于建议使用空向量作为 IV,这种完整性检查可能会受到攻击。
|
||||
|
||||
**攻击**
|
||||
|
||||
1. 获取用户名 **administ** 的签名 = **t**
|
||||
2. 获取用户名 **rator\x00\x00\x00 XOR t** 的签名 = **t'**
|
||||
3. 在 cookie 中设置值 **administrator+t'** (**t'** 将是 **(rator\x00\x00\x00 XOR t) XOR t** 的有效签名 = **rator\x00\x00\x00**)
|
||||
3. 在 cookie 中设置值 **administrator+t'** (**t'** 将是 **(rator\x00\x00\x00 XOR t) XOR t** = **rator\x00\x00\x00** 的有效签名)
|
||||
|
||||
**ECB**
|
||||
|
||||
如果 cookie 使用 ECB 加密,则可能会存在漏洞。\
|
||||
如果 cookie 使用 ECB 加密,则可能会受到攻击。\
|
||||
当您登录时,您收到的 cookie 必须始终相同。
|
||||
|
||||
**如何检测和攻击:**
|
||||
|
||||
创建 2 个几乎相同数据的用户(用户名、密码、电子邮件等),并尝试发现给定 cookie 中的某些模式。
|
||||
|
||||
创建一个名为 "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" 的用户,并检查 cookie 中是否存在任何模式(由于 ECB 使用相同的密钥加密每个块,如果用户名被加密,则相同的加密字节可能会出现)。
|
||||
创建一个名为 "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" 的用户,并检查 cookie 中是否有任何模式(由于 ECB 使用相同的密钥加密每个块,如果用户名被加密,则相同的加密字节可能会出现)。
|
||||
|
||||
应该有一个模式(与使用的块的大小相同)。因此,知道一堆 "a" 是如何加密的,您可以创建一个用户名:"a"*(块的大小)+"admin"。然后,您可以从 cookie 中删除一个块的 "a" 的加密模式。您将拥有用户名 "admin" 的 cookie。
|
||||
应该有一个模式(与使用的块的大小相同)。因此,知道一堆 "a" 是如何加密的,您可以创建一个用户名:"a"\*(块的大小)+"admin"。然后,您可以从 cookie 中删除一个块的 "a" 的加密模式。您将拥有用户名 "admin" 的 cookie。
|
||||
|
||||
## 参考
|
||||
|
||||
|
||||
Loading…
x
Reference in New Issue
Block a user