DVWA靶场通关笔记-弱会话IDs(Weak Session IDs Medium级别)
目录
一、Session ID
二、代码审计(Medium级别)
1、配置security为Medium级别
2、源码分析
(1)index.php
(2)Medium.php
(3)对比分析
(4)渗透思路
三、渗透实战
1、点击生成会话ID
2、bp抓包分析
3、预测后续会话 ID
DVWA(Damn Vulnerable Web Application)中的 弱会话Weak Session IDs关卡是用于练习和演示弱会话ID的不同场景,不同安全等级存在不同的脆弱点和绕过方法,本小节对中等级别的关卡进行渗透实战。
一、Session ID
Session ID(会话 ID)是 Web 应用程序中用于标识用户会话的唯一标识符,是用户访问网站时的 “电子身份证”。会话id的核心作用和身份证类似,id用于区分不同的用户,核心作用如下所示。
- 区分用户会话:当用户访问网站时,服务器会为其创建一个会话(Session),并生成唯一的 Session ID,通过 Cookie 存储在用户浏览器或 URL 中。后续请求携带该 ID,服务器即可识别用户身份,保持会话状态(如登录状态、购物车数据等)。
- 跨请求状态保持:由于默认情况下HTTP应用层协议是无状态的,Session ID 让服务器能 “记住” 用户的操作,例如用户登录后,服务器通过 Session ID 关联其权限和数据。
Session ID(会话 ID)通常使用Cookie 存储:默认通过名为PHPSESSID(PHP)等的 Cookie 传输,浏览器自动携带。以DVWA的盲注关卡Impossible级别为例,使用bp抓包,如下报文的sesssion id使用PHPSESSID存储,值为tssqfshe2838kcg5nbkf4464u3,具体如下所示。
二、代码审计(Medium级别)
1、配置security为Medium级别
进入到弱会话id关卡,完整URL地址具体如下所示。
http://192.168.59.1/dvwa/vulnerabilities/weak_id/
2、源码分析
(1)index.php
进入DVWA靶场源目录,找到index.php源码。
这段 PHP 代码是 Damn Vulnerable Web Application (DVWA) 中 “弱会话 ID” 演示页面的核心逻辑,通过对比不同安全级别的实现方式,帮助开发者理解弱会话 ID 的风险和安全的会话管理实践。主要功能如下所示。
- 安全级别控制:根据用户 Cookie 中存储的安全级别(低、中、高、安全),动态加载不同的会话 ID 生成算法实现文件,展示不同防护级别的会话管理场景。
- 用户交互界面:
- 提供一个 “Generate” 按钮,每次点击时会触发会话 ID 的生成。
- 页面说明文字提示用户每次点击按钮会设置一个名为 dvwaSession 的新 Cookie。
- 会话 ID 生成演示:根据低、中、高、安全共4个级别演示会话id的生成。
- 辅助功能:
- 提供帮助文档和源代码查看功能。
- 根据不同安全级别显示相应的会话 ID 生成结果
经过注释后的详细代码如下所示。
<?php
// 定义网站根目录路径常量,用于后续文件引用
define( 'DVWA_WEB_PAGE_TO_ROOT', '../../' );
// 引入DVWA页面基础功能库
require_once DVWA_WEB_PAGE_TO_ROOT . 'dvwa/includes/dvwaPage.inc.php';// 启动页面,验证用户是否已认证并初始化PHPIDS(入侵检测系统)
dvwaPageStartup( array( 'authenticated', 'phpids' ) );// 创建新页面实例
$page = dvwaPageNewGrab();
// 设置页面标题
$page[ 'title' ] = 'Vulnerability: Weak Session IDs' . $page[ 'title_separator' ].$page[ 'title' ];
// 设置页面ID,用于导航和标识
$page[ 'page_id' ] = 'weak_id';
// 添加帮助按钮和源代码按钮
$page[ 'help_button' ] = 'weak_id';
$page[ 'source_button' ] = 'weak_id';// 连接数据库
dvwaDatabaseConnect();// 设置HTTP请求方法(默认为GET)
$method = 'GET';
// 初始化不同安全级别对应的源文件
$vulnerabilityFile = '';// 根据安全级别Cookie值选择不同的实现文件
switch( $_COOKIE[ 'security' ] ) {case 'low':// 低安全级别:使用易预测的会话ID生成算法$vulnerabilityFile = 'low.php';break;case 'medium':// 中安全级别:部分增强的会话ID生成算法$vulnerabilityFile = 'medium.php';break;case 'high':// 高安全级别:进一步增强的会话ID生成算法$vulnerabilityFile = 'high.php';break;default:// 安全模式:使用安全的会话ID生成算法$vulnerabilityFile = 'impossible.php';$method = 'POST';break;
}// 引入选定的实现文件
require_once DVWA_WEB_PAGE_TO_ROOT . "vulnerabilities/weak_id/source/{$vulnerabilityFile}";// 构建页面主体内容,包含说明文字和生成会话ID的按钮
$page[ 'body' ] .= <<<EOF
<div class="body_padded"><h1>Vulnerability: Weak Session IDs</h1><p>This page will set a new cookie called dvwaSession each time the button is clicked.<br /></p><form method="post"><input type="submit" value="Generate" /></form>
$htmlEOF;/*
Maybe display this, don't think it is needed though
if (isset ($cookie_value)) {$page[ 'body' ] .= <<<EOFThe new cookie value is $cookie_value
EOF;
}
*/// 输出最终HTML页面
dvwaHtmlEcho( $page );?>(2)Medium.php
进入DVWA靶场源目录,找到Medium.php源码。
打开源码medium.php,分析可知这段代码实现了一个简单的会话 ID 生成机制功能,如下所示。
代码的功能如下所示。
- 当用户通过 POST 请求访问页面时。
- 生成一个基于当前时间戳的会话 ID。
- 将该 ID 存储在名为dvwaSession的 Cookie 中。
- 未设置 Cookie 的安全属性(如Secure、HttpOnly)。
详细注释后的代码如下所示。
<?php
// 初始化HTML输出变量(用于存储页面内容)
$html = "";// 检查当前请求是否为POST方法(例如用户点击表单提交按钮)
if ($_SERVER['REQUEST_METHOD'] == "POST") {// 将会话ID设置为当前时间戳(以秒为单位)$cookie_value = time();// 设置名为"dvwaSession"的Cookie,值为当前时间戳// 默认有效期:浏览器关闭时失效// 默认路径:当前页面所在路径// 未设置Secure属性(允许HTTP传输)// 未设置HttpOnly属性(允许JavaScript访问)setcookie("dvwaSession", $cookie_value);
}
?>(3)对比分析
low级别和Medium级别的区别如下所示。
| 对比项 | Low级别 | Medium级别 |
| 会话 ID 生成方式 | 基于会话计数器递增(初始值 0,每次请求 + 1) | 基于当前时间戳time()函数返回秒级时间戳 |
| 可预测性 | 高(攻击者可通过猜测递增规律预测会话 ID) | 中(短时间内可能重复,如同一秒内的请求) |
| 唯一性 | 低(会话重置或服务器重启可能导致 ID 重复) | 中(同一秒内的请求会生成相同 ID) |
| 安全性 | 低(会话固定攻击风险高,且 ID 易被枚举) | 中(时间戳虽动态但粒度粗,仍有被预测风险) |
(4)渗透思路
核心问题:具有弱会话 ID(Predictable Session ID)攻击可能性。
-
会话 ID 可预测
- 时间戳以秒为单位递增,攻击者可轻松计算未来 / 过去的会话 ID。
- 示例:若当前时间戳为
1630482000,攻击者可猜测下一个可能是1630482001。
-
时间精度不足
- 同一秒内的所有请求会生成相同的会话 ID,导致冲突。
- 攻击者可通过并发请求碰撞有效会话。
-
缺乏随机性
- 完全依赖确定性的系统时间,无随机因子。
- 攻击者无需破解,直接推算即可。
-
Cookie 安全缺失
- 未设置
Secure属性,Cookie 可通过 HTTP 明文传输。 - 未设置
HttpOnly属性,易受 XSS 攻击窃取。 - 未设置有效期(默认会话 Cookie),用户关闭浏览器后需重新认证。
- 未设置
影响:攻击者可通过时间戳或枚举会话 ID 值,伪造合法用户会话,获取未授权访问权限。
三、渗透实战
1、点击生成会话ID
bp开启拦截功能,进入靶场的脆弱的session id关卡,点击生成会话id三次,如下所示。
2、bp抓包分析
第1个报文的session id为dvwaSession=1747368161,如下图所示。
1747368161 对应的 UTC 时间是 2024 年 12 月 16 日 13:22:41,可以通过如下函数进行转换,说明这个为时间戳转换,具体code如下所示。
from datetime import datetime
print(datetime.utcfromtimestamp(1747368161).strftime('%Y-%m-%d %H:%M:%S'))
# 输出:2024-12-16 13:22:41
第2个报文的session id为dvwaSession=1747368380(1747368380 对应的 UTC 时间是 2024 年 12 月 16 日 13:26:20),如下图所示。
3、预测后续会话 ID
由于会话 ID 是简单通过时间戳转换,攻击者可通过如下方式进行预测。
- 记录受害者登录时的时间戳(如1747368380)
- 预测后续会话 ID 范围(如1747368301至1747368360)
- 逐个尝试这些值,直到获取访问权限