session文件欺騙(旁注不可跨目錄時(shí)思路)

admin · 發(fā)表于 2013-9-8 21:30:56

0x00 session介紹
0x01 利用條件
0x02 利用思路
0x03 漏洞證明
0x04 防范方法

0x00 session介紹

一般的web認(rèn)證方式都是通過(guò)cookie或者session來(lái)進(jìn)行的。眾所周知，cookie是存在本地的，客戶端可以隨意修改；而session是以文本文件形式存儲(chǔ)在服務(wù)器端的，所以客戶端無(wú)法修改 Session 內(nèi)容。實(shí)際上在服務(wù)器端的 Session 文件，PHP 自動(dòng)修改 session 文件的權(quán)限，只保留了系統(tǒng)讀和寫權(quán)限，而且不能通過(guò) ftp 修改，所以安全得多。服務(wù)器上權(quán)限的劃分是以用戶為單位，所以session文件的所有權(quán)也是以用戶為單位的。一般來(lái)說(shuō)，涉及敏感的權(quán)限時(shí)，使用session來(lái)進(jìn)行權(quán)限驗(yàn)證，比如網(wǎng)站的后臺(tái)。
Session與客戶端交互的方式是session_id。如PHP，在cookie中有一項(xiàng)為PHPSESSID，該session_id與服務(wù)端的session記錄文件一一對(duì)應(yīng)，相當(dāng)于Token。這樣看來(lái)，與session有關(guān)的信息有一個(gè)客戶端可以修改的session_id，利用這個(gè)性質(zhì)我們可以實(shí)現(xiàn)session的欺騙和劫持。

以PHP為例，我們首先來(lái)看與session相關(guān)的幾個(gè)函數(shù)。
session_save_path()：定義了服務(wù)端session文件存儲(chǔ)的路徑。參數(shù)為空則顯示當(dāng)前路徑，參數(shù)不為空則定義路徑。默認(rèn)在php.ini中sessions.save_path 項(xiàng)配置。Windows下默認(rèn)路徑：C:\Windows\Temp，linux下默認(rèn)路徑為/tmp。這兩個(gè)路徑的權(quán)限較為寬松。在實(shí)際中我們也可以根據(jù)需要調(diào)用函數(shù)session_save_path('PATH')修改。

session_id()：定義當(dāng)前session的唯一標(biāo)識(shí)，session_id。參數(shù)為空則顯示當(dāng)前session_id，參數(shù)不為空則定義session_id。因?yàn)樽隽藱?quán)限限制，PHP只能取到當(dāng)前網(wǎng)站(實(shí)際上是當(dāng)前網(wǎng)站在服務(wù)端對(duì)應(yīng)的用戶，若該用戶有多個(gè)站，則多個(gè)站之間的session可以直接訪問(wèn))產(chǎn)生的session_id對(duì)應(yīng)的session。

羅嗦了這么多，我們先生成一個(gè)session，看看文件里會(huì)有什么內(nèi)容。

<?phpsession_start();if(!session_is_registered('deleter')) $_SESSION['admin']='deleter';echo session_save_path().'\\sess_'.session_id();?>

運(yùn)行結(jié)果為：
C:\Windows\Temp\sess_hadodem9d65kblem793sr9u3g7
文件中內(nèi)容為

admin|s:7:"deleter";

我們可以看到，session中內(nèi)容為明文存儲(chǔ)的。而有的時(shí)候服務(wù)器權(quán)限沒(méi)設(shè)好的情況下session文件是可以直接看到內(nèi)容的。

Session文件欺騙的原理是攻擊者在取得部分服務(wù)器權(quán)限后，在session_save_path中找到已通過(guò)驗(yàn)證的session文件或者上傳偽造的session文件，然后在客戶端修改cookie中的session_id，從而欺騙服務(wù)器來(lái)獲取某種更高的權(quán)限。

基礎(chǔ)的東西介紹完了，接下來(lái)看利用條件。

0x01 利用及條件

黑客們攻取網(wǎng)站第一反應(yīng)是拿后臺(tái)，畢竟后臺(tái)權(quán)限大。但如果暴不出后臺(tái)密碼，前臺(tái)也沒(méi)有什么明顯的漏洞呢？接下來(lái)想到的是旁注。要是服務(wù)器權(quán)限設(shè)置很死，不能跨目錄，提權(quán)也提不下呢？C段？這樣就越繞越遠(yuǎn)了。在旁注下之后可以考慮session文件欺騙來(lái)進(jìn)入目標(biāo)站的后臺(tái)。

Session文件欺騙的利用條件為：
1. 取得部分服務(wù)器權(quán)限(同服務(wù)器其他網(wǎng)站的webshell)
2. 目標(biāo)網(wǎng)站敏感權(quán)限驗(yàn)證通過(guò)session進(jìn)行
3. session_save_path目錄可以訪問(wèn)(或者session_id可以預(yù)測(cè)或爆破)
可能需要的附加條件為：
4. 目標(biāo)網(wǎng)站授權(quán)好的session文件內(nèi)容已知，即可以偽造(一般對(duì)應(yīng)開(kāi)源程序)
5. session中無(wú)客戶端驗(yàn)證信息

0x02 利用思路

如果目標(biāo)站符合這幾個(gè)條件，接下來(lái)就是利用了。

只需簡(jiǎn)單兩步找出你路由器寬帶密碼

首先訪問(wèn)session_save_path對(duì)應(yīng)的目錄，找出里面與session相關(guān)的文件(以sess_開(kāi)頭)，查找文件大小大于0的文件。
若在linux下且能執(zhí)行命令，可用：

cd /tmp
ls -l sess_*

Windows下對(duì)應(yīng)命令為：

cd C:\Windows\Tempdir /Q sess_*

若是不能執(zhí)行命令列出所有者，php中有一個(gè)fileowner函數(shù)可以得到所有者的uid。
觀察文件大小和所有者，找出可以利用的文件。找到可能的session文件之后，在客戶端修改session_id便能通過(guò)敏感權(quán)限的驗(yàn)證。如果session_id可以預(yù)測(cè)或者爆破的話可以在客戶端進(jìn)行相關(guān)嘗試。
假如沒(méi)有找到合適的session文件或者session中有客戶端驗(yàn)證信息怎么辦？如果可以的話，我們本地生成一個(gè)然后傳到session_save_path對(duì)應(yīng)的目錄中。
生成偽造的session文件的方法為本地搭建web程序，通過(guò)驗(yàn)證后找到對(duì)應(yīng)的session文件；或者猜測(cè)幾項(xiàng)可能的驗(yàn)證項(xiàng)，本地生成。

0x03 漏洞證明

check.php

<?phpsession_start();if(!empty($_SESSION['admin'])) echo "success!";?>

Auth.php

<?phpsession_start();if(!session_is_registered('admin'))$_SESSION['admin']='deleter';echo session_save_path().'\\sess_'.session_id();?>
首先訪問(wèn)check.php，沒(méi)有通過(guò)驗(yàn)證。

接下來(lái)訪問(wèn)Auth.php

產(chǎn)生驗(yàn)證文件。其內(nèi)容為：

admin|s:7:"deleter";

將其另存為C:\Windows\Temp\sess_auth文件，即偽造session_id=auth的session文件。

修改客戶端session_id。

刷新check.php，通過(guò)驗(yàn)證。

0x04 防范方法

1. 自定義session_save_path并設(shè)置好權(quán)限
2. session中加入客戶端驗(yàn)證信息
3. 退出時(shí)不要直接關(guān)閉瀏覽器，要使session失效

路由器的管理賬號(hào)跟密碼我知道，因?yàn)檫@路由器是我買的，這樣給我?guī)?lái)了查找寬帶賬號(hào)的方便。以前我試過(guò)什么星號(hào)查看器，寬帶賬號(hào)密碼查看器，這都東西對(duì)我都不管用。于是我大膽猜想到能不能查看網(wǎng)頁(yè)源代碼，從源代碼里面找出寬帶賬號(hào)密碼呢，經(jīng)過(guò)我第一遍測(cè)試，居然成功了，這未免太......

灰鴿子使用教程下面看看步驟，第一步當(dāng)然是登陸路由器，一般輸入192.168.1.1或者192.168.0.1就能打開(kāi)路由器頁(yè)面，賬號(hào)密碼一般默認(rèn)是admin（因?yàn)槁酚善鞣趾芏喾N所有有部分默認(rèn)賬號(hào)密碼不是admin而是其他的，由于很多這里就不一一介紹了）進(jìn)入以后找到網(wǎng)絡(luò)參數(shù)-WAN口設(shè)置，然后右邊會(huì)出現(xiàn)賬號(hào)，以及星號(hào)密碼，這里顯示的是星號(hào)密碼，你是無(wú)法查看的，就算你用工具也不能查看。這可能是制作商故意這樣設(shè)計(jì)的，這個(gè)頁(yè)面每一秒鐘刷新一次。
到了這個(gè)頁(yè)面以后，我們按F12（我用的是IE9，所以直接按F12，其他瀏覽器自己測(cè)試）以后網(wǎng)頁(yè)底部會(huì)出現(xiàn)一個(gè)框框，框框里面就是網(wǎng)頁(yè)各種源代碼了，這里我已經(jīng)找出寬帶賬號(hào)密碼儲(chǔ)蓄在哪一項(xiàng)了，所以直接點(diǎn)開(kāi)那一項(xiàng)就能看見(jiàn)賬號(hào)密碼了。這兩項(xiàng)分別為：

<frameset rows="*" cols="155,30,*" border="0" frameBorder="NO" frameSpacing="0">

<frame name="mainFrame" src="/userRpm/MainRpm.htm">