作者：WormBuG
轉自: www.oso.com.cn

現(xiàn)在有很多社區(qū)網(wǎng)為了方便網(wǎng)友瀏覽，都使用了cookie技術以避免多次輸入密碼（就如the9和vr），所以只要對服務器遞交給用戶的cookie進行改寫就可以達到欺騙服務程序的目的。

ＣＯＯＫＩＥ欺騙原理
按照瀏覽器的約定，只有來自同一域名的cookie才可以讀寫，而cookie只是瀏覽器的，對通訊協(xié)議無影響，所以要進行cookie欺騙可以有多種途徑：
１、跳過瀏覽器，直接對通訊數(shù)據(jù)改寫
２、修改瀏覽器，讓瀏覽器從本地可以讀寫任意域名cookie
３、使用簽名腳本，讓瀏覽器從本地可以讀寫任意域名cookie（有安全問題）
４、欺騙瀏覽器，讓瀏覽器獲得假的域名
其中：
方法１、２需要較專業(yè)的編程知識，對普通用戶不太合適。
方法３的實現(xiàn)有２種方法：
１、直接使用簽名腳本，不需要簽名驗證，但是產(chǎn)生很嚴重的安全問題，因為大家都要上網(wǎng)的，如果這樣做你的硬盤文件就……
２、對腳本進行簽名后再使用簽名腳本，但是需要專用的數(shù)字簽名工具，對普通用戶也不合適。
方法４看樣子應該是最合適的了，域名欺騙很簡單，也不需要什么工具（當然如果你的機器裝有web服務器那更好了），下面我以the9為例，以這種方法為基礎，闡述一下cookie欺騙的過程（下文中提到的任何服務端的bug，the9都已經(jīng)做了改進，所以本文對the9無安全方面的影響）：

注：我們討論的cookie是那種不會在硬盤的cookie文件里留下蹤跡的cookie，就是那種只在瀏覽器生存周期內(nèi)（會話）產(chǎn)生的cookie，如果瀏覽器關閉（會話結束）那么這個cookie就被刪了！　

ＣＯＯＫＩＥ欺騙實戰(zhàn)
the9在登陸的時候會返回３個cookie（這可把瀏覽器的警告cookie選項打開時看到）：
cgl_random（隨即序列號）：登陸識別的記號
cgl_loginname（登陸名）：身份的識別記號
cgl_areaid（小區(qū)號）：你居住的小區(qū)號碼
只要把cgl_loginname填入正確的登陸名，再對cgl_random進行修改，就可以達到欺騙服務程序的目的。

一般欺騙php程序的字符串為：
1''or''1''=''1
把這個填入cgl_random，服務程序就被欺騙了！
因為服務程序不太可能對cookie進行語法檢查（the9現(xiàn)在改進了），那么把這個字符串填入，就可以成功的欺騙對方程序，而達到突破的目的了！

現(xiàn)在的問題是，如何使瀏覽器把這個我改過的cookie返回給the9？
看一看the9的域名吧：http://www.the9.com/，而瀏覽器的cookie警告已經(jīng)告訴了我們這３個cookie會返回給有.the9.com這個域名的服務器，哎？我的機器上正好有web服務器，那么動手吧！
先編一個設置cookie的html，就叫cookie.htm吧，然后把這個cookie放進web目錄，這樣還不行，因為我的機器的域名沒設，那么設置host的名字，可是如果在網(wǎng)絡設置中進行設置的話，機器要重啟動的，還是想想別的簡單的辦法吧！
然后我們應該編輯hosts文件，這個文件應該在windows目錄下，你有可能找不到它，但是如果你找到了hosts.sam文件，那么把它后面的擴展名去掉，就是我們要的文件了！
編輯hosts文件，填入以下一行:
127.0.0.1 www0.the9.com
解釋一下，127.0.0.1是本機的lo地址，可以用做web地址，而www0.the9.com就是我們欺騙產(chǎn)生的域名。
然后在瀏覽器中輸入http://www0.the9.com/cookie.htm，看，頁面出來了，快設置cookie吧！
直接訪問http;//www.the9.com/main.htm看看，不錯吧！

但是不是所有的網(wǎng)友都有自己的web服務器啊！那怎么辦呢？
其實如果你有個人主頁的話，也可以達到cookie欺騙的目的，比如某個個人主頁的服務器的ip地址是1.2.3.4，先上傳cookie.htm文件，再編輯hosts文件：
1.2.3.4 www0.the9.com
然后訪問http://www0.the9.com/***/cookie.htm，其中***是你個人主頁的地址目錄。

對了我作了個工具在我的主頁上，現(xiàn)在公開一下,http://home.etang.com/fsl/9the/，大家知道該怎么做了吧？嘿嘿，不過你那樣設置是沒有用的，要這樣編輯hosts：
etang的ip www.the9.com
the9的ip www0.the9.com
為什么要這樣呢？我等會會告訴大家的
繼續(xù)the9的cookie討論，還有2個cookie：
cgl_mainshowinfo（個人信息）
cgl_showinfo_changed（意義不知）
由于第二個cookie不知道是什么，所以就討論第一個。
第一個cookie存放著你在the9的名字、稱號、居住的小區(qū)、街道、是否有工作、星級、門牌號等的信息（目前只知道這些，其余的信息不知其意義，具體格式就讓給大家去分析了），但是中文都escape過了，如果你用的不是netscpae而是ie的話，不能用unescape得知其信息，因為ie對雙字節(jié)采用unicode而不采用ascii，如果哪天the9也支持unicode就好了！：），但是其他網(wǎng)站站長注意了，你們可通過cgi的形式把這些the9居民信息抓過來實現(xiàn)數(shù)據(jù)共享！哈哈……，如果你們真要這么做，就只有使用簽名腳本了，總不能讓別人編輯hosts吧（不過得注意版權哦！）？

ie的cookie漏洞：
如果你用的是ie的話，由于ie本身的漏洞，你大可不必編輯hosts，就可以同樣做到讀寫別的域名的cookie，你可以使用以下的方法欺騙ie（具體的可以去www.cookiecentral.com看看）：
假設你的主頁文件為http://a.com/cookie.htm，
使用以下url： http://a%2Ecom%2Fcookie%2Ehtm%3F.the9.com
如果直接輸在瀏覽器地址欄里不行，就作個script，把location的值設為這個就可以了！
這個地址轉換后應該是這樣的： http://a.com/cookie.htm?.the9.com
由于ie的bug，誤把前面那個的域名以為是.the9.com了！

hosts文件解釋
hosts文件實際上可以看成一個本機的dns系統(tǒng)，它可以負責把域名解釋成ip地址，它的優(yōu)先權比dns服務器要高，它的具體實現(xiàn)是TCP/IP協(xié)議中的一部分。
如果有這么一行：
202.109.110.3 www.the9.com
那么在輸入www.the9.com時，網(wǎng)絡協(xié)議會首先檢查hosts文件找到匹配的，如果找不到再去dns查，這樣你訪問www.the9.com實際上是訪問202.109.110.3，而不是通常的202.109.110.2。
注：由于緩存的作用，如果開著瀏覽器編輯hosts的話，hosts里的內(nèi)容有可能不會當場生效，你可以重新啟動瀏覽器或等一會時間再試一下！

關于ＲＥＦＥＲＥＲ的欺騙（這個雖然不屬于cookie欺騙，但是懶得再寫一篇，就歸在一起了）
referer是http頭，它的作用是簽定用戶是從何處引用連接的，在the9，服務程序就充分利用了這一點，如過你是手動輸入url的話，那么referer不會設任何值，服務程序就返回什么“投機取巧”的字樣！
由于我們前面對瀏覽器進行了域名欺騙，那么referer也被欺騙了，但是服務程序對referer是整個主機名檢查，所以www0.the9.com的域名就欺騙不了服務器，所以得用www.the9.com欺騙，那么還得設一個域名方便我們訪問the9，而且還得讓cookie返回給這個真的the9，那么就用www0.the9.com吧！（這回知道前面訪問我主頁工具時要那樣編輯hosts了吧？）
如果你用了這個方法的話，那么你就不能直接點擊the9的連接，而得用工具中的地址欺騙來進行訪問，至于這樣做的好處，大家自己找找吧，我就不想詳細說了，太累了！

關于netvampire：
這個下載工具大家都知道吧？那么它的3.3版大家用過嗎？很棒的！因為它可以直接讓大家改變下載連接的referer，而且它還能繼承瀏覽器的cookie，把cookie返回給服務端（不過cookie不能改，如果能改的話，這個工具就太………………）

后記
好了關于cookie及referer就說到這了，在這個星期以前利用cookie欺騙的話the9的門戶可是大開的（當然似乎還有通用密碼什么的），不過the9雖然改進了，我不能保證其他社區(qū)網(wǎng)也改進了，當然本文只是探討技術，不負什么法律責任