dvwa靶场通关（九）

第九关：Weak Session IDs（弱会话IDs）

当用户登录后，在服务器就会创建一个会话(session)，叫做会话控制，接着访问页面的时候就不用登录，只需要携带 Sesion去访问。

sessionID作为特定用户访问站点所需要的唯一内容。如果能够计算或轻易猜到该sessionID，则攻击者将可以轻易获取访问权限，无需登录直接进入特定用户界面，进而进行其他操作。

用户访问服务器的时候，在服务器端会创建一个新的会话(Session)，会话中会保存用户的状态和相关信息，用于标识用户。

服务器端维护所有在线用户的Session，此时的认证，只需要知道是哪个用户在浏览当前的页面即可。为了告诉服务器应该使用哪一个Session，浏览器需要把当前用户持有的SessionID告知服务器。用户拿到session id就会加密后保存到 cookies 上，之后只要cookies随着http请求发送服务器，服务器就知道你是谁了。SessionID一旦在生命周期内被窃取，就等同于账户失窃。

Session利用的实质 ：

由于SessionID是用户登录之后才持有的唯一认证凭证，因此黑客不需要再攻击登陆过程(比如密码)，就可以轻易获取访问权限，无需登录密码直接进入特定用户界面， 进而查找其他漏洞如XSS、文件上传等等。

Session劫持 :

就是一种通过窃取用户SessionID，使用该SessionID登录进目标账户的攻击方法，此时攻击者实际上是使用了目标账户的有效Session。如果SessionID是保存在Cookie中的，则这种攻击可以称为Cookie劫持。SessionID还可以保存在URL中，作为一个请求的一个参数，但是这种方式的安全性难以经受考验。
 

low

用burp抓包，把cookie复制下来

dvwaSession=8; security=low; PHPSESSID=b9ql0ihq5bshs9k5u7l76gbitf

 url记录下来

http://dvwa.com/vulnerabilities/weak_id/

 退出登录，清除页面浏览器的cookie值，用火狐的hackbar，输入上面url和cookie，勾选cookie然后访问

 就可以实现无密码登录了

 medium

 dvwaSession的值是通过时间戳来形成的，关于时间戳转换，直接查找转换器进行转换即可

 dvwaSession=1688981402; security=medium; PHPSESSID=o1bs6jbs2k4rh8cu24une3tp8a

方法同low级别一样

 

high

抓包发现，dvwaSesion值很像md5加密，使用md5解密，发现是对从零开始的整数进行加密

 

 

 

 构造payload使用火狐提交，跟low一样操作

impossible

$cookie_value采用随机数+时间戳+固定字符串"Impossible"，再进行sha1运算，完全不能猜测到dvwaSession的值。