“简单原理”揭秘演示,访问任意 HTTP 页面各大网站 Cookie 被劫持

2018-09-27 17:00:22 +08:00
 mytry

继昨天的 《直到现在仍有不少人认为,访问没隐私没价值的网页,不是 HTTPS 问题不大。。。》

为了简单模拟“被劫持”的场景,这里就不搭 WiFi 之类的设备了,直接用最快捷的办法:浏览器 HTTP 代理。(事实上用代理时被劫持也是很常见的~)

我在自己的云主机上,临时开了一个 HTTP 服务:

主机:47.104.178.133 (或者直接填域名 alert.fun )

端口:8080

为了节省流量,就不开反向代理了,所以访问任意 HTTP 网站都会变成这个样子:

点击查看结果,里面就是嗅探到的各大网站 Cookie:

当然,这里只取了 10 个站点测试而已。100 个也一样,只是多耗一些流量而已。

这个页面比较简单,没做授权功能,只要提交和查看时 IP 没变就行。所以测试前保管好隐私,测完及时清理,泄露概不负责~

(由于这个云主机流量有限,请勿恶意刷新。余额用光就下线了)

14542 次点击
所在节点    程序员
132 条回复
t6attack
2018-09-28 01:50:17 +08:00
这个问题,对于 运营商 这种超级中间人来说,没太大意义。运营商能抓取的明文 cookies 本来就是海量级的。如果你的浏览器里存储着的某个网站的 cookie,说明运营商早就可以拿到它了。
但对于公共 wifi、咖啡店、快餐店,学校、机构、公寓楼网管,这种 小中间人 来说。很有意义。你只要打开 ip138 看一眼当前 ip,不怀好意的小中间人,就可以把你浏览器里的 cookie 轮一遍。
saucerman
2018-09-28 02:08:32 +08:00
如果 a 网页中有一张图片来自 b 网页,当我们访问 a 网页,是不会把 a 网页的 cookie 发送到 b 网页的,也请求不了 b 网页的 cookie,这是游览器最基本的同源策略。
楼主此帖属于中间人攻击,和 http/https 有什么关系?和 arp 欺骗攻击一个道理。

请楼主搭一个 http 网页,我访问之后,可以获取我的所有游览器保存的 cookie。
AX5N
2018-09-28 03:33:40 +08:00
楼上都是大佬,那我问个问题:
楼主当了中间人后,是如何抓取浏览器里所有 cookie 的,浏览器访问一个站点不是应该只发送一个站点的 cookie 出去吗。
Trim21
2018-09-28 04:00:44 +08:00
@AX5N 网页里插上别的站点的资源,比如图片之类的,你就会去请求别的网站了。也不是所有 cookies,具体抓什么要看楼主网页里放了什么站点的资源。
AX5N
2018-09-28 04:08:03 +08:00
@Trim21 喔,谢谢
bypythoncom
2018-09-28 07:08:25 +08:00
@XiaoXiaoNiWa 貌似楼主就是这篇文章作者
lzhd24
2018-09-28 07:20:50 +08:00
谢谢大神分享,在微博关注大神很久,一看截图的风格,喜欢留下一个思考题,就知道是 ED 大神哈哈
SP00F
2018-09-28 08:37:50 +08:00
中间人攻击。。。。

如果在流量层拦截或者过滤,其实也算中间人攻击。。。

都走代理了,能不泄露吗。。。哪怕不走代理,你的运营商,你的骨干机房。全都可以获取得到你的 cookie。。
mytry
2018-09-28 08:51:09 +08:00
@t6attack 这种方法能抓到运营商抓不到的 Cookie。你仔细看演示里面的请求域名,前面都有一个 ‘ a.’。这个就是规避 HSTS 的,没配置 includeSubDomains 或 preload 的 HTTPS 站点都无法避免。
SP00F
2018-09-28 08:56:59 +08:00
楼主很牛批,描述的基本都是中间人攻击。 非要说只要访问 HTTP 就能泄露各大网站的 cookie

实际上是我作为一个中间人,劫持了 A.COM 里面加载一些 B.COMC.COMD.COM 的资源就能取到 B.COMC.COMD.COM 的 cookie。

而不是楼主所说的访问任何一个 HTTP 网页,各大网站的 cookie 瞬间就能泄露(这里楼主描述有误,说明是中间人攻击一切就真相大白了好嘛。。非要说访问任何一个 HTTP 网页就能泄露各大网站的 cookie )

非要禁止的话,请从源头处理。。。你的路由可以中间人你,你的运营商可以中间人你,你的骨干可以劫持你等等等等。。

而且也非一定要在 A.COM 里面加载 B.COM 的资源获取 B.COM 的 cookie。。只要你用着运营商的网络,就有可能被中间人。不管你是不是 HTTPS。。。只要 B.COM 是用户常上网站,那就是要被攻击的目标。
test99
2018-09-28 09:07:05 +08:00
看半吊子楼主被喷的心疼,就这水平出来显摆个啥,驴头不对马嘴的,还提 badusb,你用过 badusb 么?用的哪一版硬件? payload 用的啥。半懂不懂还喜欢显摆的标题党真是越来越多了
mytry
2018-09-28 09:33:21 +08:00
@test99 https://boingboing.net/2016/11/16/beyond-bad-usb-poisontap-take.html 2 分 40 秒 自己去看。你有更好办法也可以去提。
mytry
2018-09-28 09:34:44 +08:00
另外现在 poisontap 攻击器首选就是这种方式: https://github.com/samyk/poisontap

只是取了个名字叫 siphons cookies (虹吸 Cookie )
ZavierXu
2018-09-28 09:37:20 +08:00
V2 贴吧化之人人都是运营商……
ZavierXu
2018-09-28 09:39:10 +08:00
@test99 说真的好奇半吊子楼主平时逛哪些安全论坛 /网站,我这就去把他们从我的收藏夹里删了
swulling
2018-09-28 09:53:03 +08:00
HTTP 中间人可以为所欲为,只用来抓 cookie 简直就是大材小用。

就好比发一个贴,我能空手切 1mm 的豆腐,结果用的是菜刀,这有什么好吹的。
oyosc
2018-09-28 09:56:25 +08:00
确定这是技术贴?标题党吧,这尼玛有啥好揭示的,半吊子楼主不解释,真的丢人!
y1shan
2018-09-28 10:14:02 +08:00
为什么你们不假装这个很厉害,为什么你们要说穿?
Mohanson
2018-09-28 10:26:06 +08:00
我来解释一下吧, 楼主做了不仅仅是一个 HTTP 代理, 而且还做了 DNS 投毒, 你访问其代理时, 如果请求域名时 qq.com 类似的, 楼主的代理会劫持流量到自己的本地服务器, 这样你 qq.com 里的 cookie 就跑到楼主的服务器里了. 很又意思但也老旧的一个技术.


另外标题党人人喊打.
Mohanson
2018-09-28 10:27:28 +08:00
标题是 "访问任意 HTTP 页面各大网站 Cookie 被劫持", 结果你却让我连你的 HTTP 代理, 这不是搞笑吗

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/493233

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX