当前位置: 首页 > news >正文

DVWA靶场通关笔记-弱会话IDs(Weak Session IDs Medium级别)

目录

一、Session ID

二、代码审计(Medium级别)

1、配置security为Medium级别

2、源码分析

(1)index.php

(2)Medium.php

(3)对比分析

(4)渗透思路

三、渗透实战

1、点击生成会话ID

2、bp抓包分析

3、预测后续会话 ID


DVWA(Damn Vulnerable Web Application)中的 弱会话Weak Session IDs关卡是用于练习和演示弱会话ID的不同场景,不同安全等级存在不同的脆弱点和绕过方法,本小节对中等级别的关卡进行渗透实战。

一、Session ID

Session ID(会话 ID)是 Web 应用程序中用于标识用户会话的唯一标识符,是用户访问网站时的 “电子身份证”。会话id的核心作用和身份证类似,id用于区分不同的用户,核心作用如下所示。

  1. 区分用户会话:当用户访问网站时,服务器会为其创建一个会话(Session),并生成唯一的 Session ID,通过 Cookie 存储在用户浏览器或 URL 中。后续请求携带该 ID,服务器即可识别用户身份,保持会话状态(如登录状态、购物车数据等)。
  2. 跨请求状态保持:由于默认情况下HTTP应用层协议是无状态的,Session ID 让服务器能 “记住” 用户的操作,例如用户登录后,服务器通过 Session ID 关联其权限和数据。

Session ID(会话 ID)通常使用Cookie 存储:默认通过名为PHPSESSID(PHP)等的 Cookie 传输,浏览器自动携带。以DVWA的盲注关卡Impossible级别为例,使用bp抓包,如下报文的sesssion id使用PHPSESSID存储,值为tssqfshe2838kcg5nbkf4464u3,具体如下所示。

二、代码审计(Medium级别)

1、配置security为Medium级别

进入到弱会话id关卡,完整URL地址具体如下所示。

http://192.168.59.1/dvwa/vulnerabilities/weak_id/

2、源码分析

(1)index.php

进入DVWA靶场源目录,找到index.php源码。

这段 PHP 代码是 Damn Vulnerable Web Application (DVWA) “弱会话 ID 演示页面的核心逻辑,通过对比不同安全级别的实现方式,帮助开发者理解弱会话 ID 的风险和安全的会话管理实践。主要功能如下所示。

  • 安全级别控制:根据用户 Cookie 中存储的安全级别(低、中、高、安全),动态加载不同的会话 ID 生成算法实现文件,展示不同防护级别的会话管理场景。
  • 用户交互界面
    • 提供一个 “Generate” 按钮,每次点击时会触发会话 ID 的生成。
    • 页面说明文字提示用户每次点击按钮会设置一个名为 dvwaSession 的新 Cookie。
  • 会话 ID 生成演示:根据低、中、高、安全共4个级别演示会话id的生成。
  • 辅助功能
    • 提供帮助文档和源代码查看功能。
    • 根据不同安全级别显示相应的会话 ID 生成结果

经过注释后的详细代码如下所示。

<?php
// 定义网站根目录路径常量,用于后续文件引用
define( 'DVWA_WEB_PAGE_TO_ROOT', '../../' );
// 引入DVWA页面基础功能库
require_once DVWA_WEB_PAGE_TO_ROOT . 'dvwa/includes/dvwaPage.inc.php';// 启动页面,验证用户是否已认证并初始化PHPIDS(入侵检测系统)
dvwaPageStartup( array( 'authenticated', 'phpids' ) );// 创建新页面实例
$page = dvwaPageNewGrab();
// 设置页面标题
$page[ 'title' ]   = 'Vulnerability: Weak Session IDs' . $page[ 'title_separator' ].$page[ 'title' ];
// 设置页面ID,用于导航和标识
$page[ 'page_id' ] = 'weak_id';
// 添加帮助按钮和源代码按钮
$page[ 'help_button' ]   = 'weak_id';
$page[ 'source_button' ] = 'weak_id';// 连接数据库
dvwaDatabaseConnect();// 设置HTTP请求方法(默认为GET)
$method            = 'GET';
// 初始化不同安全级别对应的源文件
$vulnerabilityFile = '';// 根据安全级别Cookie值选择不同的实现文件
switch( $_COOKIE[ 'security' ] ) {case 'low':// 低安全级别:使用易预测的会话ID生成算法$vulnerabilityFile = 'low.php';break;case 'medium':// 中安全级别:部分增强的会话ID生成算法$vulnerabilityFile = 'medium.php';break;case 'high':// 高安全级别:进一步增强的会话ID生成算法$vulnerabilityFile = 'high.php';break;default:// 安全模式:使用安全的会话ID生成算法$vulnerabilityFile = 'impossible.php';$method = 'POST';break;
}// 引入选定的实现文件
require_once DVWA_WEB_PAGE_TO_ROOT . "vulnerabilities/weak_id/source/{$vulnerabilityFile}";// 构建页面主体内容,包含说明文字和生成会话ID的按钮
$page[ 'body' ] .= <<<EOF
<div class="body_padded"><h1>Vulnerability: Weak Session IDs</h1><p>This page will set a new cookie called dvwaSession each time the button is clicked.<br /></p><form method="post"><input type="submit" value="Generate" /></form>
$htmlEOF;/*
Maybe display this, don't think it is needed though
if (isset ($cookie_value)) {$page[ 'body' ] .= <<<EOFThe new cookie value is $cookie_value
EOF;
}
*/// 输出最终HTML页面
dvwaHtmlEcho( $page );?>

(2)Medium.php

进入DVWA靶场源目录,找到Medium.php源码。

打开源码medium.php,分析可知这段代码实现了一个简单的会话 ID 生成机制功能,如下所示。

代码的功能如下所示。

  • 当用户通过 POST 请求访问页面时。
  • 生成一个基于当前时间戳的会话 ID
  • 将该 ID 存储在名为dvwaSession Cookie 中。
  • 未设置 Cookie 的安全属性(如SecureHttpOnly

详细注释后的代码如下所示。

<?php
// 初始化HTML输出变量(用于存储页面内容)
$html = "";// 检查当前请求是否为POST方法(例如用户点击表单提交按钮)
if ($_SERVER['REQUEST_METHOD'] == "POST") {// 将会话ID设置为当前时间戳(以秒为单位)$cookie_value = time();// 设置名为"dvwaSession"的Cookie,值为当前时间戳// 默认有效期:浏览器关闭时失效// 默认路径:当前页面所在路径// 未设置Secure属性(允许HTTP传输)// 未设置HttpOnly属性(允许JavaScript访问)setcookie("dvwaSession", $cookie_value);
}
?>

(3)对比分析

low级别和Medium级别的区别如下所示。

对比项

Low级别

Medium级别

会话 ID 生成方式

基于会话计数器递增(初始值 0,每次请求 + 1

基于当前时间戳time()函数返回秒级时间戳

可预测性

高(攻击者可通过猜测递增规律预测会话 ID

中(短时间内可能重复,如同一秒内的请求)

唯一性

低(会话重置或服务器重启可能导致 ID 重复)

中(同一秒内的请求会生成相同 ID

安全性

低(会话固定攻击风险高,且 ID 易被枚举)

中(时间戳虽动态但粒度粗,仍有被预测风险)

(4)渗透思路

核心问题:具有弱会话 ID(Predictable Session ID)攻击可能性。

  • 会话 ID 可预测

    • 时间戳以秒为单位递增,攻击者可轻松计算未来 / 过去的会话 ID。
    • 示例:若当前时间戳为1630482000,攻击者可猜测下一个可能是1630482001。
  • 时间精度不足

    • 同一秒内的所有请求会生成相同的会话 ID,导致冲突。
    • 攻击者可通过并发请求碰撞有效会话。
  • 缺乏随机性

    • 完全依赖确定性的系统时间,无随机因子。
    • 攻击者无需破解,直接推算即可。
  • Cookie 安全缺失

    • 未设置Secure属性,Cookie 可通过 HTTP 明文传输。
    • 未设置HttpOnly属性,易受 XSS 攻击窃取。
    • 未设置有效期(默认会话 Cookie),用户关闭浏览器后需重新认证。

影响:攻击者可通过时间戳或枚举会话 ID 值,伪造合法用户会话,获取未授权访问权限。

三、渗透实战

1、点击生成会话ID

bp开启拦截功能,进入靶场的脆弱的session id关卡,点击生成会话id三次,如下所示。

2、bp抓包分析

第1个报文的session id为dvwaSession=1747368161,如下图所示。

1747368161 对应的 UTC 时间是 2024 12 16 13:22:41,可以通过如下函数进行转换,说明这个为时间戳转换,具体code如下所示。

from datetime import datetime
print(datetime.utcfromtimestamp(1747368161).strftime('%Y-%m-%d %H:%M:%S'))
# 输出:2024-12-16 13:22:41

2个报文的session iddvwaSession=17473683801747368380 对应的 UTC 时间是 2024 12 16 13:26:20),如下图所示。 

3、预测后续会话 ID

由于会话 ID 是简单通过时间戳转换,攻击者可通过如下方式进行预测。

  • 记录受害者登录时的时间戳(如1747368380
  • 预测后续会话 ID 范围(如17473683011747368360
  • 逐个尝试这些值,直到获取访问权限
http://www.dtcms.com/a/271976.html

相关文章:

  • mmu 是什么?core和die是什么?
  • 计算机网络实验——无线局域网安全实验
  • UE 植物生长 Motion Design
  • 深度学习-正则化
  • 【SkyWalking】服务端部署与微服务无侵入接入实战指南
  • 【spring boot】三种日志系统对比:ELK、Loki+Grafana、Docker API
  • 【世纪龙科技】汽车信息化综合实训考核平台(机电方向)-学测
  • 零基础入门物联网-远程门禁开关:云平台创建
  • selenium中xpath的用法大全
  • anchor 智能合约案例5 之 vesting
  • 汽车加气站操作工历年考试真题及答案
  • CSS表达式——下篇【selenium】
  • WebSocket实战:实现实时聊天应用 - 双向通信技术详解
  • 【C++】——类和对象(上)
  • C 语言基础:操作符、进制与数据表示通俗讲解
  • AI【应用 03】Windows环境部署 TTS CosyVoice2.0 详细流程记录(Matcha-TTS、spk2info.pt等文件分享)
  • Qt中处理多个同类型对象共享槽函数应用
  • git多分支管理
  • 缺陷的生命周期(Bug Life Cycle)是什么?
  • Java 正则表达式白皮书:语法详解、工程实践与常用表达式库
  • WWDC 25 风云再起:SwiftUI 7 Charts 心法从 2D 到 3D 的华丽蜕变
  • 【HarmonyOS Next之旅】DevEco Studio使用指南(四十二) -> 动态修改编译配置
  • 全面解析 wxPython:构建原生桌面应用的 Python GUI 框架
  • 【计算机基础理论知识】C++篇(二)
  • [python] 数据拷贝浪费内存,原地修改暗藏风险:如何平衡内存使用效率与数据完整性?
  • 【SpringBoot实战系列】SpringBoot3.X 整合 MinIO 存储原生方案
  • C++类对象多态底层原理及扩展问题
  • Python-GEE遥感云大数据分析与可视化(如何建立基于云计算的森林监测预警系统)
  • Yolov模型参数对比
  • Docker的/var/lib/docker/目录占用100%的处理方法