About “Surf Jacking”
作者:cnqing
刚刚读完大风的《又一个猥琐的技巧:Surf Jacking》,里面讲到如何嗅探https中的cookie,当然直接嗅探https内容是不可能的,文中的技巧是让被劫持主机由访问https 强行跳转到http页面,从而实现抓取明文的cookie。在最后文章提到了一个局限性:
“这种攻击也是具有 局限性的。因为他要求能够在目标网站的域下存在一个能够用http访问的页面,可以是图片或者是css之类,如下:”
实际上这个局限性是不存在的,因为可以劫持上行流量和修改下行数据了。那么我们同样可以欺骗被劫持主机认为服务器存在 http服务。
作为中间人,完整的劫持流程如下:
1.嗅探到 浏览器访问某网站A
2. 篡改HTTP response包为301号返回,然后location指向某个https站点B的任意http链接(不用确认服务器是否开启http服务)
3. 浏览器收到301号跳转,开始访问B的http页面
4. 截获浏览器访问B的http页面的 syn请求
5. 响应给浏览器syn + ack 以完成TCP握手
6. 浏览器继续发送HTTP get请求
7. 截获浏览器访问B的cookie