目录

. 漏洞描述

. 漏洞触发条件

. 漏洞影响范围

. 漏洞代码分析

. 防御方法

. 攻防思考

1. 漏洞描述

Ecshop提供了密码找回功能,但是整个密码找回流程中存在一些设计上的安全隐患

. Ecshop程序使用了MD5不可逆加密算法,但是计算密文的生成元素都有可以很轻易地被黑客拿到

/*

if (md5($adminid . $password) <> $code)

1. $adminid: 黑客显式指定

2. $password: 暴力枚举

*/

. 对重复失败次数没有做限制

Relevant Link:

http://www.wooyun.org/bugs/wooyun-2010-024689

2. 漏洞触发条件

HTTP Package Repeater

3. 漏洞影响范围

. ecshop 2.7.

. ecshop 2.7.

. ...

4. 漏洞代码分析

admin/get_password.php

...

/* 验证新密码,更新管理员密码 */

    elseif (!empty($_POST['action']) && $_POST['action'] == 'reset_pwd')

    {

        $new_password = isset($_POST['password']) ? trim($_POST['password'])  : '';

        $adminid      = isset($_POST['adminid'])  ? intval($_POST['adminid']) : ;

        $code         = isset($_POST['code'])     ? trim($_POST['code'])      : '';

        if (empty($new_password) || empty($code) || $adminid == )

        {

            ecs_header("Location: privilege.php?act=login\n");

            exit;

        }

        /* 以用户的原密码,与code的值匹配 */

        $sql = 'SELECT password FROM ' .$ecs->table('admin_user'). " WHERE user_id = '$adminid'";

        $password = $db->getOne($sql);

        /*

        这里是漏洞的关键

        1. $adminid:黑客想要爆破攻击重置密码的对象

        2. $password:黑客通过密码暴力枚举

        3. $code:黑客可以在本地使用相同的算法进行计算得到

        */

        if (md5($adminid . $password) <> $code)

        {

            //此链接不合法

            $link[]['text'] = $_LANG['back'];

            $link[]['href'] = 'privilege.php?act=login';

            sys_msg($_LANG['code_param_error'], , $link);

        }

....

5. 防御方法

这个漏洞属于密码学的抗穷举设计缺陷,要对这个漏洞进行修复,同时要能保证对原有的业务进行平滑兼容,我们可以从以下几个方面去思考

. 增加密钥空间,提供攻击者的攻击成本:容易实现

. 改变加密算法,间接地提高了密钥空间:需要对原有旧的密码进行全量地升级,改造成本大

admin/get_password.php

 /* 以用户的原密码,与code的值匹配 */

$sql = 'SELECT password FROM ' .$ecs->table('admin_user'). " WHERE user_id = '$adminid'";

$password = $db->getOne($sql); 

if (md5($adminid . $password) <> $code)

{

    //此链接不合法

    $link[]['text'] = $_LANG['back'];

    $link[]['href'] = 'privilege.php?act=login';

    sys_msg($_LANG['code_param_error'], , $link);

}

//更新管理员的密码

/*

这里是pathc code的关键

代码中增加了随机数的盐,这极大地增加了黑客爆破的密钥空间,提供了攻击成本

*/

    $ec_salt=rand(,);

$sql = "UPDATE " .$ecs->table('admin_user'). "SET password = '".md5(md5($new_password).$ec_salt)."',`ec_salt`='$ec_salt' ".

       "WHERE user_id = '$adminid'";

6. 攻防思考

Copyright (c) 2014 LittleHann All rights reserved

Ecshop /admin/get_password.php Password Recovery Secrect Code Which Can Predict Vulnerability的更多相关文章

  1. ECSHOP \admin\edit_languages.php GETSHELL Based On Injection PHP Code Into /languages/zh_cn/user.php

    目录 . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 对于很多CMS网站来说,它们都需要保存很多的网站META信息,最常用的最佳实践是以 ...

  2. Advanced Office Password Recovery如何设置快捷方式

    一般软件安装成功之后都会在桌面上形成快捷方式以方便使用,但是一些用户发现Advanced Office Password Recovery这种office密码破解工具安装成功后桌面上没有出现快捷方式, ...

  3. Advanced Office Password Recovery安装后显示是英文版的

    一些才开始接触Advanced Office Password Recovery(即AOPR)的朋友,在安装Advanced Office Password Recovery的时候可能发现Advanc ...

  4. [分享]Passcape Software - Windows Password Recovery

    [分享]Passcape Software - Windows Password Recovery https://bbs.pediy.com/thread-245965.htm   [[other] ...

  5. Advanced Archive Password Recovery (ARCHPR) 是一个强大的压缩包密码破解工具,适用于ZIP和RAR档案的高度优化的口令恢复工具。

    RAR压缩文件密码破解工具是一款简单易用的RAR文档和ZIP文档密码破解软件,如果你不小心忘了解压密码或是下载的RAR文件需要密码,那么均可以使用本软件进行暴力破解.不管WinRAR /RAR 的密码 ...

  6. Testlink 机器重启后Access denied for user 'admin '@'localhost' (using password: YES)解决

    问题表现: 装完Testlink,重启系统后,在testlink权限未分配会出现如下提示: 1045 - Access denied for user 'Testlink '@'localhost' ...

  7. ecshop Admin后台删除(Ajxa删除,无跳转连接)

    关联文件Admin/goods.php?act=trash,     Admin/js/listtable.js html代码 <a href="javascript:;" ...

  8. ecshop Admin后台商品列表处(上架、下架、精品...取消精品)增加操作

    相关文件:goods.php,goods_list.htm 思路: a.增添连接“转移仓库” b.在goods.php,读取仓库列表数据,并且实例化 c. 在goods_list.htm循环数据.点击 ...

  9. ECSHOP Inject PHPCode Into ecs_mail_templates table Via \admin\mail_template.php && \includes\cls_template.php Vul Tag_PHP_Code Execute Getshell

    目录 . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Ecshop后台模版编辑漏洞,黑客可以在获得了后台管理员的帐号密码之后,可以通过在 ...

随机推荐

  1. openstack常规操作命令梳理

    之前顺利部署了openstack+kvm的虚拟化云平台管理环境,其中,涉及到不少openstack操作命令,记录如下: 查看rabbitmq 队列[root@openstack ~]#rabbitmq ...

  2. sql 索引 填充因子(转)

    和索引重建最相关的是填充因子.当创建一个新索引,或重建一个存在的索引时,你可以指定一个填充因子,它是在索引创建时索引里的数据页被填充的数量.填充因子设置为100意味着每个索引页100%填满,50%意味 ...

  3. VMWare安装苹果操作系统OS X

    项目要求做一些简单的苹果开发尝试,由于苹果的各种开发要求在Macintosh机上进行,可是项目不值得为一次简单的尝试付出过多的购机费,所以只能另辟蹊径,跟别人学学怎么在虚拟机里面搞: http://j ...

  4. An Introduction to Interactive Programming in Python (Part 1) -- Week 2_2 练习

    #Practice Exercises for Logic and Conditionals # Solve each of the practice exercises below. # 1.Wri ...

  5. 《深入理解计算机系统》深入实践之——vim深入研究

    vim 用户手册中,大部分的例子都是在讲 vim 如何高效编写代码,由此可见,vim 是一款面向于程序员的多功能编辑器,即使某些功能 vim 无法直接完成,借助其丰富的插件资源,必定可以达成目标,这就 ...

  6. iOS开发系列--扩展--播放音乐库中的音乐

    众所周知音乐是iOS的重要组成播放,无论是iPod.iTouch.iPhone还是iPad都可以在iTunes购买音乐或添加本地音乐到音乐 库中同步到你的iOS设备.在MediaPlayer.fram ...

  7. 20145208 《Java程序设计》第一周学习总结

    20145208 <Java程序设计>第X周学习总结 教材学习内容总结 这几天我学习java的基础内容,这几天我学习了java的基础内容,从教材上面我了解到了java是一种程序语言,但他又 ...

  8. 身份证号码自动生成程序(Python)

    今天收到一个小需求:需要一个自动生成身份证号码的小程序.近期用python较多,因此打算用python实现. 需求细化: 1.身份证必须能够通过身份证校验程序. 2.通过查询,发现身份证号码是有国家标 ...

  9. Android中的异步网络请求

    本篇文章我们来一起写一个最基本的Android异步网络请求框架,借此来了解下Android中网络请求的相关姿势.由于个人水平有限,文中难免存在疏忽和谬误,希望大家可以指出,谢谢大家:) 1. 同步网络 ...

  10. TCP的三次握手和四次挥手

    置顶文章:<纯CSS打造银色MacBook Air(完整版)> 上一篇:<两个简单的Loading> 作者主页:myvin 博主QQ:851399101(点击QQ和博主发起临时 ...