关于新型漏洞https cookie注入漏洞攻击剖析

0x01 什么是cookie? 主要是验证用户的身份的唯一标识。 0x02 cookie注入的原理是什么？ 既然是cookie注入，不管是http，还是https协议，其实就是对cookie进行的伪造，修改，达到欺骗服务器目的。这里的注入是伪造修改，同sql中的cookie注入无关。 0x03 http中cookie伪造的常见场景 1.利用xss盗取用户cookie，盗取cookie后可以直接在客户端伪造cookie进行登陆。 2.cookie是可以预测的，伪造客户端端cookie可以进行登陆。 3.内网劫持得到用户cookie，盗取cookie后可以直接在客户端cookie伪造登录。 由此可见http中获取的用户cookie后的攻击方式是直接登录就行。 0x04 https中cookie盗取伪造的常见场景 1.利用xss盗取用户cookie，盗取cookie后在客户端伪造cookie，由于https是加密的，伪造后无法进行登录。 2.cookie是可以预测的，伪造客户端端cookie无法进行登录。（https加密无法伪造连接） 3.内网劫持得到用户cookie，盗取cookie后无法进行登录。（https加密无法伪造连接） 有上可知，即使你得到了cookie，由于https协议，也不能登录，也没什么卵用。 因此，黑客们就开始找获取cookie进行https登录的猥琐方法。 0x05 cookie的组成和特性 cookie的组成 [name,domain,path]: 唯一的确定cookie name，domain,path任何一个值不同，则cookie也不相同。 domain向上通配特性 页面http://www.bank.com向客户端设置cookie时， Set-Cookie: user1 = admin; domain=.bank.com; path=/; 利用上面的cookie访问http://user.bank.com时,cookie仍然有效。 利用上面的cookie访问http://123.user.bank.com时，cookie仍然有效。 也就是说只要是bank.com的子域名，这个cookie是通用的。 path向下通配特性 页面http://www.bank.com向客户端设置cookie时， Set-Cookie: user1 = admin; domain=.bank.com; path=/; 就利用上面的cookie访问http://www.bank.com/buy/时，cookie仍然有效的。 就利用上面的cookie访问http://www.bank.com/buy/aa/时，cookie仍然有效的。 也就是说只要是www.bank.com域名下的路径，这个cookie是有效的。 0x06 利用这些特性攻击的过程 攻击方法一 首先我们劫持了用户的cookie，得到cookie了无法登陆https拿太坑了，看看能不能利用cookie的特性进行修改cookie . 我们劫持了用户的cookie，先看cookie是哪个网站的，例如https://bank.com， 我们得到的一个cookie如下Set-Cookie:session=test;domain=.bank.com;path=/; 我们现在就可以利用Cookie:session=test去访问bank.com下的非http的网站如http://user.bank.com 这个网站可以用session=test这个cookie访问的，这样我们就可以利用劫持的cookie登录user.bank.com这个网站的用户。 这样的攻击感觉不过瘾，还是不能攻击https的网站啊。看一看攻击方法二 攻击方法二 比如劫持到了https://bank.com下的用户的cookie,那么我们先在这个网站注册一个合法用户test。 利用test用户登录去访问这个网站得到的cookie是Set-Cookie:session=test;domain=.bank.com;path=/;Secure; 那么我们可以利用注册的用户去登录http://user.bank.com这个网站，这个网站也会返回一个cookie Set-Cookie:session=test;domain=.bank.com;path=/;Secure; 这个cookie也是服务器的response返回值，我们可以拦截 修改返回值，任意修复cookie,那么我们就把它修改为劫持到用户的cookie, Set-Cookie:session=attacker;domain=.bank.com;path=/;Secure; cookie返回到客户端，也就是我们修改后的cookie，这时候我们再利用这个cookie访问https://bank.com这个网站，发现就变成 了attacker这个用户的操作界面，也就是我们劫持的用户，登陆了https下的网站，我们就大功告成了。 0x07 其他cookie特性 path越长，优先级越高 Set-Cookie:session=bob; domain=.user.bank.com; path= /; Set-Cookie:session=attacker;domain=.bank.com; path=/admin; 优先访问。 也就是说谁的path长先访问谁。 创建时间越早，优先级越高 Set-Cookie:session=bob; domain=.user.bank.com; path= /; Set-Cookie:session=attacker;domain=.bank.com; path=/; expires =Mon, 1,Jan 1970； 优先访问 attacker最先创建优先访问。 参考：Kcon大会议题CooKie之困