鬼仔's Blog

作者：cnqing

刚刚读完大风的《又一个猥琐的技巧：Surf Jacking》，里面讲到如何嗅探https中的cookie，当然直接嗅探https内容是不可能的，文中的技巧是让被劫持主机由访问https 强行跳转到http页面，从而实现抓取明文的cookie。在最后文章提到了一个局限性：

“这种攻击也是具有 局限性的。因为他要求能够在目标网站的域下存在一个能够用http访问的页面，可以是图片或者是css之类，如下：”

实际上这个局限性是不存在的，因为可以劫持上行流量和修改下行数据了。那么我们同样可以欺骗被劫持主机认为服务器存在 http服务。

作为中间人，完整的劫持流程如下：
1.嗅探到 浏览器访问某网站A
2. 篡改HTTP response包为301号返回，然后location指向某个https站点B的任意http链接（不用确认服务器是否开启http服务）
3. 浏览器收到301号跳转，开始访问B的http页面
4. 截获浏览器访问B的http页面的 syn请求
5. 响应给浏览器syn + ack 以完成TCP握手
6. 浏览器继续发送HTTP get请求
7. 截获浏览器访问B的cookie