Xiaocms验证码绕过分析

事实证明这套程序验证码没有办法存在绕过。具体分析在t00ls上。但是这套程序获取验证码的逻辑是存在问题的，思路是可以借鉴的。

第一次请求后台是，红线位置是请求验证码的url。

当我们第一次请求时，也就是没有点击提交。程序会包含这个前台页面。

跟进前台页面，前台页面会通过img的src属性加载验证码。

<img id="code" src="../index.php?c=api&a=checkcode&width=85&height=26" align="absmiddle" title="看不清楚？换一张" onclick="document.getElementById('code').src='../index.php?c=api&a=checkcode&width=85&height=26&'+Math.random();" style="cursor:pointer; margin-top:-3px;"></td>

跟进生成验证码图片的代码(api控制器下的checkcodeAction方法)，加载了image类，继续跟进：

     public function checkcodeAction() {
         $api    = xiaocms::load_class('image');
         $width  = $this->get('width');
         $height = $this->get('height');
         $api->checkcode($width,$height);
     }

这里将生产的验证码赋值到session中了。

上面我们清楚了，验证码获取的流程。

我们看下验证码怎么验证的。

跟进checkCode函数。

     protected function checkCode($value)
     {
         $code = $this->session->get('checkcode');
         var_dump($value);
         $value = strtolower($value);
         $this->session->delete('checkcode');   //删除session中的验证码
         return $code === $value ? true : false;
     }

就是我们post的验证码和session中生产的验证码比较。关键这里有一句删除验证码，就导致了问题。

捋一下逻辑，当我们第一次请求的时候submit为空，就不会进入if分支，就会包含前台页面，前台页面就会请求获取验证码。

当我们第一次提交验证码时候，sumbit就不为空了，会进入if分支。然而第一次提交验证码后会把存验证码的session删掉。session=null

当我们第二次请求的时候，submit不为空，继续进入if分支，就不会请求验证码。session=null 当我们post也是null时，就能绕过验证码了。