会话固定漏洞的一点学习、分析与思考

在日常的渗透测试工作中经常发现会话固定漏洞，但是由于实际危害较小，多数情况下并没有把该漏洞写进报告中。一直对这个洞没什么深入的认识，今天好好看看，所以就有了这篇小短文，跟大家分享下我的理解。

漏洞原理

代码语言：javascript复制

抛开花里胡哨的包装，看最本质的东西。

漏洞的本质用一句话来说是把一个无效的或者说低权限的令牌提升为高权限的令牌，而这个令牌标识是攻击者可以控制的。利用漏洞攻击的整体流程。如下图。

攻击流程分为五个阶段：

1、攻击者请求 web 服务器生成会话令牌。（这一步不是必须的，因为有的服务器接受任意的会话令牌。）

2、web 服务器将令牌回复给攻击者。（这一步不是必须的，因为有的服务器接受任意的会话令牌。）

3、攻击者将与其当前令牌所关联的认证页面发送给用户。

4、用户使用攻击者发送的链接登陆 web 服务器，此时攻击者令牌提权，获得了用户的权限。

5、攻击者使用已知令牌登陆系统。

为什么要从客户端接收会话令牌

漏洞一般是与业务功能、客户需求等相伴相生的。结合自己不多的经验，我总结推想出两种可能的漏洞场景：

1、为了适应不使用 cookies 的客户端

有一些客户端基于种种原因，不愿使用 cookies，或者压根就不支持。为了照顾这一部分用户，web 程序的开发者则不得不做出妥协，使用其他的方式传送会话令牌。

2、引入了 SSO 的认证场景

SSO（Single Sign On）也就是单点认证，一处登陆多处访问。在同一域下的登陆与资源访问可以很方便的使用 cookies 实现的会话令牌进行控制，如下图。

但是如果跨域了，cookies 也就不那么方便了。就得用能跨域的东西做会话令牌了（比如说把令牌放到参数中），如下图：

认真看图就能发现，登陆过程的 url 和免登 url 都可能携带会话令牌。web 开发者各有千秋，业务需求也各有不同，其他位置也都有可能出现会话令牌。（图中是比较完备的 SSO 实现，真实的系统不一定能实现的这么完整，应该说实现的不完整的 SSO 更易受到会话固定攻击。）

漏洞测试

为了看到直观的漏洞攻击效果，这里使用世界上最好的语言之一——PHP 进行测试。为了适应客户端的奇葩需求，PHP 实现了一种可以通过 url 参数传递 session id 的机制，不过不是默认配置（应该不是）。需要在 php 配置文件中配置一下：

加入这几条配置:

设置是否适用 cookies 存储 sessionid，如果为 0 则不适用 cookies，对演示效果没有影响，如果为 1，则优先使用 cookies 中的 session id

session.use_cookies = 0

是否只是用 cookies 存储 sessionid，如果为 1，则不能使用 url 传 session id

session.use_only_cookies = 0

是否在 url 中传输 sessionid，为 0 时不能使用 url 传令牌

session.use_trans_sid = 1

测试代码

写了两个简单的界面复现这个漏洞。

index.php

代码语言：javascript复制

<?php
$id=md5(time().'salt');//无法预测的salt
header('location:login.php?PHPSESSID='.$id);

login.php

代码语言：javascript复制

<?php
session_start();
$user='admin';
$pass='password';
if(isset($user)&&isset($pass)){    
if($_GET['user']==$user&&$_GET['pass']==$pass){        $_SESSION['user']='admin';    
}
}if($_SESSION['user']=='admin'){    
echo'hello admin!';
}else{    
echo'please login.';
}
echo'<br>';
echosession_id();//方便查看当前的session id是啥