From 9d75c19f850a9d0e12043978553f694d9e98c480 Mon Sep 17 00:00:00 2001 From: Translator Date: Tue, 4 Feb 2025 18:45:03 +0000 Subject: [PATCH] Translated ['src/pentesting-web/domain-subdomain-takeover.md', 'src/pent --- .../domain-subdomain-takeover.md | 65 ++++++++----- .../hacking-with-cookies/README.md | 96 ++++++++++++------- 2 files changed, 102 insertions(+), 59 deletions(-) diff --git a/src/pentesting-web/domain-subdomain-takeover.md b/src/pentesting-web/domain-subdomain-takeover.md index a57bc1be6..f95091b1c 100644 --- a/src/pentesting-web/domain-subdomain-takeover.md +++ b/src/pentesting-web/domain-subdomain-takeover.md @@ -1,15 +1,15 @@ -# 域名/子域名接管 +# Domain/Subdomain takeover {{#include ../banners/hacktricks-training.md}} -## 域名接管 +## Domain takeover -如果你发现某个域名 (domain.tld) **被某个服务使用在范围内**,但该 **公司** 已经 **失去** 了对它的 **所有权**,你可以尝试 **注册** 它(如果价格足够便宜)并通知公司。如果这个域名接收一些 **敏感信息**,比如通过 **GET** 参数或 **Referer** 头部的会话 cookie,这肯定是一个 **漏洞**。 +如果你发现某个域名 (domain.tld) **被某个服务使用在范围内**,但该 **公司** 已经 **失去** 了对它的 **所有权**,你可以尝试 **注册** 它(如果价格足够便宜)并通知公司。如果这个域名接收一些 **敏感信息**,比如通过 **GET** 参数或在 **Referer** 头中的会话 cookie,这肯定是一个 **漏洞**。 -### 子域名接管 +### Subdomain takeover -公司的一个子域名指向一个 **未注册名称的第三方服务**。如果你可以在这个 **第三方服务** 中 **创建** 一个 **账户** 并 **注册** 正在使用的 **名称**,你就可以执行子域名接管。 +公司的一个子域名指向一个 **未注册名称的第三方服务**。如果你可以在这个 **第三方服务** 中 **创建** 一个 **账户** 并 **注册** 正在使用的 **名称**,你可以执行子域名接管。 有几个工具带有字典来检查可能的接管: @@ -27,55 +27,72 @@ - [https://github.com/Stratus-Security/Subdominator](https://github.com/Stratus-Security/Subdominator) - [https://github.com/NImaism/takeit](https://github.com/NImaism/takeit) -### 通过 DNS 通配符生成子域名接管 +### Subdomain Takeover Generation via DNS Wildcard -当在一个域名中使用 DNS 通配符时,任何请求的子域名如果没有明确的不同地址,将会 **解析为相同的信息**。这可以是 A IP 地址,CNAME... +当域名使用 DNS 通配符时,任何请求的子域名如果没有明确的不同地址,将会 **解析为相同的信息**。这可以是 A IP 地址,CNAME... 例如,如果 `*.testing.com` 被通配符指向 `1.1.1.1`。那么,`not-existent.testing.com` 将指向 `1.1.1.1`。 -然而,如果系统管理员不是指向一个 IP 地址,而是通过 CNAME 指向一个 **第三方服务**,比如一个 G**ithub 子域名**(例如 `sohomdatta1.github.io`)。攻击者可以 **创建他自己的第三方页面**(在 Gihub 中)并声称 `something.testing.com` 指向那里。因为,**CNAME 通配符** 将允许攻击者 **为受害者的域名生成任意子域名指向他的页面**。 +然而,如果系统管理员不是指向一个 IP 地址,而是通过 CNAME 指向一个 **第三方服务**,例如一个 G**ithub 子域名**(`sohomdatta1.github.io`)。攻击者可以 **创建他自己的第三方页面**(在这种情况下是在 Gihub 上)并声称 `something.testing.com` 指向那里。因为,**CNAME 通配符** 将允许攻击者 **为受害者的域名生成任意子域名指向他的页面**。 你可以在 CTF 文章中找到这个漏洞的例子:[https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api](https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api) -## 利用子域名接管 +## Exploiting a subdomain takeover -子域名接管本质上是在互联网上对特定域名的 DNS 欺骗,允许攻击者为一个域名设置 A 记录,使浏览器显示来自攻击者服务器的内容。这种浏览器中的 **透明性** 使域名容易受到网络钓鱼攻击。攻击者可能会使用 [_typosquatting_](https://en.wikipedia.org/wiki/Typosquatting) 或 [_Doppelganger domains_](https://en.wikipedia.org/wiki/Doppelg%C3%A4nger) 来实现这一目的。特别容易受到攻击的是那些在网络钓鱼邮件中看似合法的 URL,欺骗用户并由于域名的固有信任而逃避垃圾邮件过滤器。 +子域名接管本质上是针对特定域名的 DNS 欺骗,允许攻击者为一个域名设置 A 记录,使浏览器显示来自攻击者服务器的内容。这种 **透明性** 使得域名容易受到网络钓鱼攻击。攻击者可能会使用 [_typosquatting_](https://en.wikipedia.org/wiki/Typosquatting) 或 [_Doppelganger domains_](https://en.wikipedia.org/wiki/Doppelg%C3%A4nger) 来实现这一目的。特别容易受到攻击的是那些在网络钓鱼邮件中看似合法的 URL,欺骗用户并因域名的固有信任而逃避垃圾邮件过滤器。 -查看这个 [帖子以获取更多细节](https://0xpatrik.com/subdomain-takeover/) +查看这个 [post for further details](https://0xpatrik.com/subdomain-takeover/) -### **SSL 证书** +### **SSL Certificates** -如果攻击者通过像 [_Let's Encrypt_](https://letsencrypt.org/) 这样的服务生成 SSL 证书,会增加这些假域名的合法性,使网络钓鱼攻击更具说服力。 +如果攻击者通过像 [_Let's Encrypt_](https://letsencrypt.org/) 这样的服务生成 SSL 证书,将增加这些假域名的合法性,使网络钓鱼攻击更具说服力。 -### **Cookie 安全性和浏览器透明性** +### **Cookie Security and Browser Transparency** -浏览器透明性还扩展到 cookie 安全性,受 [同源策略](https://en.wikipedia.org/wiki/Same-origin_policy) 的管理。Cookie 通常用于管理会话和存储登录令牌,可以通过子域名接管进行利用。攻击者可以 **收集会话 cookie**,只需将用户引导到一个被攻陷的子域名,危及用户数据和隐私。 +浏览器的透明性也扩展到 cookie 安全,由像 [Same-origin policy](https://en.wikipedia.org/wiki/Same-origin_policy) 这样的政策管理。cookie 通常用于管理会话和存储登录令牌,可以通过子域名接管进行利用。攻击者可以 **收集会话 cookie**,只需将用户引导到一个被攻陷的子域名,危及用户数据和隐私。 -### **电子邮件和子域名接管** +### CORS Bypass -子域名接管的另一个方面涉及电子邮件服务。攻击者可以操纵 **MX 记录** 从合法子域名接收或发送电子邮件,从而增强网络钓鱼攻击的有效性。 +可能每个子域名都被允许访问来自主域或其他子域的 CORS 资源。攻击者可以利用这一点 **访问敏感信息**,滥用 CORS 请求。 -### **更高的风险** +### CSRF - Same-Site Cookies bypass -进一步的风险包括 **NS 记录接管**。如果攻击者控制了一个域名的 NS 记录,他们可以将部分流量引导到他们控制的服务器。如果攻击者为 DNS 记录设置了高 **TTL(生存时间)**,则这种风险会加剧,延长攻击的持续时间。 +可能子域名被允许向主域或其他子域发送 cookie,而这被 cookie 的 `Same-Site` 属性所阻止。然而,请注意,如果反 CSRF 令牌得到了正确的实施,仍然会阻止此攻击。 -### CNAME 记录漏洞 +### OAuth tokens redirect -攻击者可能会利用指向不再使用或已停用的外部服务的未声明 CNAME 记录。这使他们能够在受信任的域名下创建一个页面,进一步促进网络钓鱼或恶意软件分发。 +可能被攻陷的子域名被允许在 OAuth 流程的 `redirect_uri` URL 中使用。攻击者可以利用这一点 **窃取 OAuth 令牌**。 -### **缓解策略** +### CSP Bypass + +可能被攻陷的子域名(或每个子域名)被允许用于 CSP 的 `script-src`。攻击者可以利用这一点 **注入恶意脚本** 并滥用潜在的 XSS 漏洞。 + +### **Emails and Subdomain Takeover** + +子域名接管的另一个方面涉及电子邮件服务。攻击者可以操纵 **MX 记录** 从合法子域接收或发送电子邮件,从而增强网络钓鱼攻击的有效性。 + +### **Higher Order Risks** + +进一步的风险包括 **NS 记录接管**。如果攻击者控制了一个域名的 NS 记录,他们可以将一部分流量引导到他们控制的服务器上。如果攻击者为 DNS 记录设置了高 **TTL(生存时间)**,则这一风险会加大,延长攻击的持续时间。 + +### CNAME Record Vulnerability + +攻击者可能会利用指向不再使用或已停用的外部服务的未声明 CNAME 记录。这使他们能够在受信域名下创建页面,进一步促进网络钓鱼或恶意软件分发。 + +### **Mitigation Strategies** 缓解策略包括: -1. **删除易受攻击的 DNS 记录** - 如果子域名不再需要,这种方法有效。 +1. **删除易受攻击的 DNS 记录** - 如果子域名不再需要,这种方法是有效的。 2. **声明域名** - 在相应的云提供商处注册资源或重新购买过期域名。 3. **定期监控漏洞** - 像 [aquatone](https://github.com/michenriksen/aquatone) 这样的工具可以帮助识别易受攻击的域名。组织还应修订其基础设施管理流程,确保 DNS 记录的创建是资源创建的最后一步,而资源销毁的第一步。 对于云提供商,验证域名所有权对于防止子域名接管至关重要。一些提供商,如 [GitLab](https://about.gitlab.com/2018/02/05/gitlab-pages-custom-domain-validation/),已经认识到这个问题并实施了域名验证机制。 -## 参考文献 +## References - [https://0xpatrik.com/subdomain-takeover/](https://0xpatrik.com/subdomain-takeover/) - [https://www.stratussecurity.com/post/subdomain-takeover-guide](https://www.stratussecurity.com/post/subdomain-takeover-guide) +- [https://www.hackerone.com/blog/guide-subdomain-takeovers-20](https://www.hackerone.com/blog/guide-subdomain-takeovers-20) {{#include ../banners/hacktricks-training.md}} diff --git a/src/pentesting-web/hacking-with-cookies/README.md b/src/pentesting-web/hacking-with-cookies/README.md index 0a93fb3b3..487acfcff 100644 --- a/src/pentesting-web/hacking-with-cookies/README.md +++ b/src/pentesting-web/hacking-with-cookies/README.md @@ -4,7 +4,7 @@ ## Cookie Attributes -Cookies 具有几个属性,控制它们在用户浏览器中的行为。以下是这些属性的简要说明: +Cookies 具有几个属性,控制它们在用户浏览器中的行为。以下是这些属性的概述: ### Expires and Max-Age @@ -27,7 +27,7 @@ Cookie 的过期日期由 `Expires` 属性决定。相反,`Max-age` 属性定 ### SameSite -- `SameSite` 属性决定是否在来自第三方域的请求中发送 cookie。它提供三种设置: +- `SameSite` 属性决定 cookie 是否在来自第三方域的请求中发送。它提供三种设置: - **Strict**:限制 cookie 在第三方请求中发送。 - **Lax**:允许 cookie 与由第三方网站发起的 GET 请求一起发送。 - **None**:允许 cookie 从任何第三方域发送。 @@ -47,8 +47,8 @@ Cookie 的过期日期由 `Expires` 属性决定。相反,`Max-age` 属性定 表格来自 [Invicti](https://www.netsparker.com/blog/web-security/same-site-cookie-attribute-prevent-cross-site-request-forgery/) 并稍作修改。\ 具有 _**SameSite**_ 属性的 cookie 将 **减轻 CSRF 攻击**,其中需要登录会话。 -**\*请注意,从 Chrome80(2019年2月)开始,未设置 cookie samesite 属性的默认行为将为 lax** ([https://www.troyhunt.com/promiscuous-cookies-and-their-impending-death-via-the-samesite-policy/](https://www.troyhunt.com/promiscuous-cookies-and-their-impending-death-via-the-samesite-policy/)).\ -请注意,临时情况下,在应用此更改后,**没有 SameSite** **策略的 cookie 在 Chrome 中将被 **视为 None**,在 **前 2 分钟内,然后在顶级跨站点 POST 请求中视为 Lax**。 +**\*请注意,从 Chrome80(2019年2月)开始,未设置 cookie samesite 属性的 cookie 的默认行为将是 lax** ([https://www.troyhunt.com/promiscuous-cookies-and-their-impending-death-via-the-samesite-policy/](https://www.troyhunt.com/promiscuous-cookies-and-their-impending-death-via-the-samesite-policy/)).\ +请注意,临时情况下,在应用此更改后,Chrome 中 **没有 SameSite** **策略的 cookie 将在 **前 2 分钟内被 **视为 None**,然后在顶级跨站点 POST 请求中视为 Lax。** ## Cookies Flags @@ -85,7 +85,7 @@ cookie-jar-overflow.md - 禁止指定域,防止其传输到子域。 - 这些 cookie 的路径必须设置为 `/`。 -重要的是要注意,以 `__Host-` 开头的 cookie 不允许发送到超级域或子域。此限制有助于隔离应用程序 cookie。因此,使用 `__Host-` 前缀为所有应用程序 cookie 被视为增强安全性和隔离的良好做法。 +重要的是要注意,以 `__Host-` 开头的 cookie 不允许发送到超级域或子域。此限制有助于隔离应用程序 cookie。因此,使用 `__Host-` 前缀为所有应用程序 cookie 被视为增强安全性和隔离性的良好做法。 ### Overwriting cookies @@ -107,13 +107,13 @@ cookie-jar-overflow.md ### Session Hijacking -此攻击涉及窃取用户的 cookie,以获得对其在应用程序中的帐户的未授权访问。通过使用被盗的 cookie,攻击者可以冒充合法用户。 +此攻击涉及窃取用户的 cookie,以获得对其在应用程序中的帐户的未经授权访问。通过使用被盗的 cookie,攻击者可以冒充合法用户。 ### Session Fixation -在这种情况下,攻击者诱使受害者使用特定的 cookie 登录。如果应用程序在登录时不分配新的 cookie,攻击者就可以使用原始 cookie 冒充受害者。此技术依赖于受害者使用攻击者提供的 cookie 登录。 +在这种情况下,攻击者诱使受害者使用特定的 cookie 登录。如果应用程序在登录时不分配新 cookie,攻击者持有原始 cookie,可以冒充受害者。此技术依赖于受害者使用攻击者提供的 cookie 登录。 -如果您在 **子域中发现了 XSS** 或您 **控制一个子域**,请阅读: +如果您在子域中发现 **XSS** 或您 **控制一个子域**,请阅读: {{#ref}} cookie-tossing.md @@ -123,7 +123,7 @@ cookie-tossing.md 在这里,攻击者说服受害者使用攻击者的会话 cookie。受害者相信他们已登录自己的帐户,将无意中在攻击者的帐户上下文中执行操作。 -如果您在 **子域中发现了 XSS** 或您 **控制一个子域**,请阅读: +如果您在子域中发现 **XSS** 或您 **控制一个子域**,请阅读: {{#ref}} cookie-tossing.md @@ -133,7 +133,7 @@ cookie-tossing.md 点击上面的链接访问解释 JWT 可能存在缺陷的页面。 -用于 cookie 的 JSON Web Tokens (JWT) 也可能存在漏洞。有关潜在缺陷及其利用方法的深入信息,建议访问有关黑客 JWT 的链接文档。 +用于 cookie 的 JSON Web Tokens (JWT) 也可能存在漏洞。有关潜在缺陷及其利用方式的深入信息,建议访问有关黑客 JWT 的链接文档。 ### Cross-Site Request Forgery (CSRF) @@ -147,7 +147,7 @@ document.cookie = "a=v1" document.cookie = "=test value;" // Setting an empty named cookie document.cookie = "b=v2" ``` -发送的 cookie 头中的结果是 `a=v1; test value; b=v2;`。有趣的是,如果设置了一个空名称的 cookie,这允许对 cookies 进行操控,通过将空 cookie 设置为特定值,可能控制其他 cookies: +在发送的 cookie 头中的结果是 `a=v1; test value; b=v2;`。有趣的是,如果设置了一个空名称的 cookie,这允许对 cookies 进行操控,通过将空 cookie 设置为特定值,可能控制其他 cookies: ```js function setCookie(name, value) { document.cookie = `${name}=${value}` @@ -159,7 +159,7 @@ setCookie("", "a=b") // Setting the empty cookie modifies another cookie's value #### Chrome Bug: Unicode Surrogate Codepoint Issue -在 Chrome 中,如果 Unicode 代理代码点是设置的 cookie 的一部分,`document.cookie` 会变得损坏,随后返回一个空字符串: +在 Chrome 中,如果 Unicode 代理代码点是设置的 cookie 的一部分,`document.cookie` 将变得损坏,随后返回一个空字符串: ```js document.cookie = "\ud800=meep" ``` @@ -167,7 +167,7 @@ document.cookie = "\ud800=meep" #### 由于解析问题导致的 Cookie 走私 -(查看[原始研究](https://blog.ankursundara.com/cookie-bugs/)的更多细节)包括 Java(Jetty, TomCat, Undertow)和 Python(Zope, cherrypy, web.py, aiohttp, bottle, webob)在内的多个网络服务器,由于对过时的 RFC2965 支持,错误处理 cookie 字符串。它们将带有双引号的 cookie 值视为单个值,即使它包含分号,而分号通常应分隔键值对: +(查看[原始研究](https://blog.ankursundara.com/cookie-bugs/)的更多细节) 一些网络服务器,包括 Java(Jetty, TomCat, Undertow)和 Python(Zope, cherrypy, web.py, aiohttp, bottle, webob),由于对过时的 RFC2965 支持,错误处理 cookie 字符串。它们将双引号括起来的 cookie 值视为单个值,即使它包含分号,而分号通常应分隔键值对: ``` RENDER_TEXT="hello world; JSESSIONID=13371337; ASDF=end"; ``` @@ -175,30 +175,56 @@ RENDER_TEXT="hello world; JSESSIONID=13371337; ASDF=end"; (查看[原始研究](https://blog.ankursundara.com/cookie-bugs/)的更多细节) 服务器对 cookies 的错误解析,特别是 Undertow、Zope 以及使用 Python 的 `http.cookie.SimpleCookie` 和 `http.cookie.BaseCookie` 的服务器,创造了 cookie 注入攻击的机会。这些服务器未能正确分隔新 cookie 的开始,允许攻击者伪造 cookies: -- Undertow 期望在带引号的值后面立即出现一个新 cookie,而没有分号。 +- Undertow 期望在带引号的值后立即出现新 cookie,而不需要分号。 - Zope 寻找逗号以开始解析下一个 cookie。 - Python 的 cookie 类在空格字符上开始解析。 -这种漏洞在依赖基于 cookie 的 CSRF 保护的 web 应用程序中尤其危险,因为它允许攻击者注入伪造的 CSRF-token cookies,可能绕过安全措施。这个问题因 Python 对重复 cookie 名称的处理而加剧,最后一个出现的名称会覆盖之前的名称。它还引发了对不安全上下文中 `__Secure-` 和 `__Host-` cookies 的担忧,并可能导致在将 cookies 传递给易受伪造影响的后端服务器时绕过授权。 +这种漏洞在依赖基于 cookie 的 CSRF 保护的 web 应用程序中尤其危险,因为它允许攻击者注入伪造的 CSRF-token cookies,可能绕过安全措施。这个问题因 Python 对重复 cookie 名称的处理而加剧,最后一个出现的名称会覆盖之前的名称。它还引发了对不安全上下文中 `__Secure-` 和 `__Host-` cookies 的担忧,并可能导致在将 cookies 传递给易受伪造影响的后端服务器时发生授权绕过。 -### Cookies $version and WAF bypasses +### Cookies $version + +#### WAF Bypass 根据[**这篇博客**](https://portswigger.net/research/bypassing-wafs-with-the-phantom-version-cookie),可能可以使用 cookie 属性 **`$Version=1`** 使后端使用旧逻辑解析 cookie,原因是 **RFC2109**。此外,其他值如 **`$Domain`** 和 **`$Path`** 可以用来修改后端对 cookie 的行为。 -#### Bypassing value analysis with quoted-string encoding +#### Cookie Sandwich Attack -这种解析指示在 cookies 内部取消转义的值,因此 "\a" 变为 "a"。这对于绕过 WAFS 很有用,因为: +根据[**这篇博客**](https://portswigger.net/research/stealing-httponly-cookies-with-the-cookie-sandwich-technique),可以使用 cookie 三明治技术来窃取 HttpOnly cookies。以下是要求和步骤: + +- 找到一个明显无用的 **cookie 在响应中被反射** 的地方 +- **创建一个名为 `$Version`** 的 cookie,值为 `1`(你可以在 JS 的 XSS 攻击中做到这一点),并使用更具体的路径以获取初始位置(一些框架如 Python 不需要这一步) +- **创建被反射的 cookie**,其值留有 **开放的双引号**,并使用特定路径以便在 cookie 数据库中位于前一个 cookie (`$Version`) 之后 +- 然后,合法的 cookie 将按顺序排在后面 +- **创建一个虚拟 cookie 来关闭双引号** 在其值中 + +这样,受害者的 cookie 就会被困在新的 cookie 版本 1 中,并将在每次反射时被反射。 +例如,来自帖子: +```javascript +document.cookie = `$Version=1;`; +document.cookie = `param1="start`; +// any cookies inside the sandwich will be placed into param1 value server-side +document.cookie = `param2=end";`; +``` +### WAF 绕过 + +#### Cookies $version + +查看上一节。 + +#### 使用引号字符串编码绕过值分析 + +此解析指示在 cookies 内部取消转义已转义的值,因此 "\a" 变为 "a"。这对于绕过 WAFS 很有用,例如: - `eval('test') => forbidden` - `"\e\v\a\l\(\'\t\e\s\t\'\)" => allowed` -#### Bypassing cookie-name blocklists +#### 绕过 cookie 名称黑名单 -在 RFC2109 中指出 **逗号可以用作 cookie 值之间的分隔符**。而且在等号前后也可以添加 **空格和制表符**。因此,像 `$Version=1; foo=bar, abc = qux` 的 cookie 不会生成 cookie `"foo":"bar, admin = qux"`,而是生成 cookies `foo":"bar"` 和 `"admin":"qux"`。注意生成了 2 个 cookies,以及 admin 在等号前后去掉了空格。 +在 RFC2109 中指出 **逗号可以用作 cookie 值之间的分隔符**。并且在等号前后也可以添加 **空格和制表符**。因此,像 `$Version=1; foo=bar, abc = qux` 的 cookie 不会生成 cookie `"foo":"bar, admin = qux"`,而是生成 cookies `foo":"bar"` 和 `"admin":"qux"`。注意生成了 2 个 cookies,以及 admin 在等号前后去掉了空格。 -#### Bypassing value analysis with cookie splitting +#### 使用 cookie 拆分绕过值分析 -最后,不同的后门会将不同的 cookies 连接成一个字符串,传递在不同的 cookie 头中,如: +最后,不同的后门会将不同的 cookie 头中传递的不同 cookies 连接成一个字符串,如下所示: ``` GET / HTTP/1.1 Host: example.com @@ -212,7 +238,7 @@ Cookie: comment') Resulting cookie: name=eval('test//, comment') => allowed ``` -### 额外脆弱的 Cookie 检查 +### 额外的易受攻击的 Cookie 检查 #### **基本检查** @@ -221,18 +247,18 @@ Resulting cookie: name=eval('test//, comment') => allowed - 尝试在 2 个设备(或浏览器)上使用相同的 cookie 登录同一账户。 - 检查 cookie 中是否有任何信息并尝试修改它。 - 尝试创建多个几乎相同用户名的账户,并检查是否可以看到相似之处。 -- 检查是否存在 "**记住我**" 选项以了解其工作原理。如果存在且可能存在漏洞,请始终使用 "**记住我**" 的 cookie,而不使用其他 cookie。 +- 检查是否存在 "**记住我**" 选项以查看其工作原理。如果存在且可能存在漏洞,请始终使用 "**记住我**" 的 cookie,而不使用其他 cookie。 - 检查即使在更改密码后,之前的 cookie 是否仍然有效。 #### **高级 cookie 攻击** 如果在登录时 cookie 保持不变(或几乎不变),这可能意味着该 cookie 与您账户的某个字段相关(可能是用户名)。然后您可以: -- 尝试创建许多用户名非常 **相似** 的 **账户**,并尝试 **猜测** 算法的工作原理。 +- 尝试创建许多非常 **相似** 的用户名的 **账户**,并尝试 **猜测** 算法的工作原理。 - 尝试 **暴力破解用户名**。如果 cookie 仅作为您用户名的身份验证方法保存,那么您可以创建一个用户名为 "**Bmin**" 的账户,并 **暴力破解** 您的 cookie 的每一个 **位**,因为您尝试的其中一个 cookie 将是属于 "**admin**" 的。 -- 尝试 **填充** **Oracle**(您可以解密 cookie 的内容)。使用 **padbuster**。 +- 尝试 **Padding** **Oracle**(您可以解密 cookie 的内容)。使用 **padbuster**。 -**填充 Oracle - Padbuster 示例** +**Padding Oracle - Padbuster 示例** ```bash padbuster # When cookies and regular Base64 @@ -254,26 +280,26 @@ padbuster http://web.com/index.php 1dMjA5hfXh0jenxJQ0iW6QXKkzAGIWsiDAKV3UwJPT2lB **CBC-MAC** -也许一个 cookie 可能有某个值,并且可以使用 CBC 签名。然后,值的完整性是通过使用相同值的 CBC 创建的签名。由于建议使用空向量作为 IV,这种完整性检查可能会存在漏洞。 +也许一个 cookie 可以有某个值,并且可以使用 CBC 签名。然后,值的完整性是使用相同值的 CBC 创建的签名。由于建议使用空向量作为 IV,这种完整性检查可能会受到攻击。 **攻击** -1. 获取用户名 **administ** 的签名 **t** -2. 获取用户名 **rator\x00\x00\x00 XOR t** 的签名 **t'** -3. 在 cookie 中设置值 **administrator+t'** (**t'** 将是 **(rator\x00\x00\x00 XOR t) XOR t** = **rator\x00\x00\x00** 的有效签名) +1. 获取用户名 **administ** 的签名 = **t** +2. 获取用户名 **rator\x00\x00\x00 XOR t** 的签名 = **t'** +3. 在 cookie 中设置值 **administrator+t'** (**t'** 将是 **(rator\x00\x00\x00 XOR t) XOR t** 的有效签名 = **rator\x00\x00\x00**) **ECB** -如果 cookie 使用 ECB 加密,则可能存在漏洞。\ -当你登录时,接收到的 cookie 必须始终相同。 +如果 cookie 使用 ECB 加密,则可能会受到攻击。\ +当您登录时,您收到的 cookie 必须始终相同。 **如何检测和攻击:** 创建 2 个几乎相同数据的用户(用户名、密码、电子邮件等),并尝试发现给定 cookie 中的某些模式。 -创建一个名为 "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" 的用户,并检查 cookie 中是否存在任何模式(由于 ECB 使用相同的密钥加密每个块,如果用户名被加密,则相同的加密字节可能会出现)。 +创建一个名为 "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" 的用户,并检查 cookie 中是否有任何模式(由于 ECB 使用相同的密钥加密每个块,如果用户名被加密,则相同的加密字节可能会出现)。 -应该有一个模式(与使用的块的大小相同)。因此,知道一堆 "a" 是如何加密的,你可以创建一个用户名:"a"*(块的大小)+"admin"。然后,你可以从 cookie 中删除一个块的 "a" 的加密模式。你将拥有用户名 "admin" 的 cookie。 +应该有一个模式(与使用的块的大小相同)。因此,知道一堆 "a" 是如何加密的,您可以创建一个用户名: "a"*(块的大小)+"admin"。然后,您可以从 cookie 中删除一个块的 "a" 的加密模式。您将拥有用户名 "admin" 的 cookie。 ## 参考