分析有个不对头的地方:http://wooyun.jozxing.cc/static/bugs/wooyun-2014-080211.html

后面再补

这个漏洞比较简单。

我们看到配置文件来。/include/common.inc.php  第86-94行。

if(getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'), 'unknown')) {

	$onlineip = getenv('HTTP_CLIENT_IP');

} elseif(getenv('HTTP_X_FORWARDED_FOR') && strcasecmp(getenv('HTTP_X_FORWARDED_FOR'), 'unknown')) {

	$onlineip = getenv('HTTP_X_FORWARDED_FOR');

} elseif(getenv('REMOTE_ADDR') && strcasecmp(getenv('REMOTE_ADDR'), 'unknown')) {

	$onlineip = getenv('REMOTE_ADDR');

} elseif(isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {

	$onlineip = $_SERVER['REMOTE_ADDR'];

}

  如果获取不到HTTP_CLIENT_IP的环境变量,返回false,往下执行。接着就获取HTTP_X_FORWARDED_FOR的环境变量,这个变量用户是可控的,所以我们可以伪造HTTP_X_FORWARDED_FOR来对$onlineip进行赋值。

接着看到用户登录界面,位于 logging.php  第39-139行

	if(!($loginperm = logincheck())) {

		showmessage('login_strike');

	}

  我们跟进logincheck()

位于 /include/misc.func.php  第368-381行。

function logincheck() {

	global $db, $tablepre, $onlineip, $timestamp;

	$return = 0;

	$login = $db->fetch_first("SELECT count, lastupdate FROM {$tablepre}failedlogins WHERE ip='$onlineip'");

	$return = (!$login || ($timestamp - $login['lastupdate'] > 900)) ? 4 : max(0, 5 - $login['count']);

	if($return == 4) {

		$db->query("REPLACE INTO {$tablepre}failedlogins (ip, count, lastupdate) VALUES ('$onlineip', '1', '$timestamp')");

		$db->query("DELETE FROM {$tablepre}failedlogins WHERE lastupdate<$timestamp-901", 'UNBUFFERED');

	}

	return $return;

}

  

先导入全局变量,然后进行查询。在cdb_failedlogins中查询$onlineip,

如果没查询到,!$login 将返回True,又或者当前的时间减去查询到的id上次登录的时间大于900秒 ($timestamp - $login['lastupdate'] > 900)

就返回4,否则返回max(0, 5 - $login['count'])当中最大的值

如果 $return是4的话,往下执行:

REPLACE INTO {$tablepre}failedlogins (ip, count, lastupdate) VALUES ('$onlineip', '1', '$timestamp')

来看下replace的用法:

1.replace into 
replace into table (id,name) values('1','aa'),('2','bb') 
此语句的作用是向表table中插入两条记录。如果主键id为1或2不存在 
就相当于 
insert into table (id,name) values('1','aa'),('2','bb') 
如果存在相同的值则不会插入数据

也就是在表中记录下 $onlineip  以及登录次数设置为1,还有当前的时间值。

接着就是对表进行delete操作,删除被限制900秒登录的ip,然后把$return赋值给$loginperm

返回logging.php ,如果登录失败的话 会执行这个函数loginfailed($loginperm);

function loginfailed($permission) {

	global $db, $tablepre, $onlineip, $timestamp;

	$db->query("UPDATE {$tablepre}failedlogins SET count=count+1, lastupdate='$timestamp' WHERE ip='$onlineip'");

}

  所以会对当前的$onlineip的count值进行+1 操作。

综上所述,我们可以利用变化的X-Forwarded-For值进行伪造,绕过同一ip可登录五次的限制。

在管理员登录这里也有个

	function init_var() {

		$this->time = time();

		$cip = getenv('HTTP_CLIENT_IP');

		$xip = getenv('HTTP_X_FORWARDED_FOR');

		$rip = getenv('REMOTE_ADDR');

		$srip = $_SERVER['REMOTE_ADDR'];

		if($cip && strcasecmp($cip, 'unknown')) {

			$this->onlineip = $cip;

		} elseif($xip && strcasecmp($xip, 'unknown')) {

			$this->onlineip = $xip;

		} elseif($rip && strcasecmp($rip, 'unknown')) {

			$this->onlineip = $rip;

		} elseif($srip && strcasecmp($srip, 'unknown')) {

			$this->onlineip = $srip;

所以也能绕过ip限制进行爆破,还有一点就是对于验证码的重复使用。

只需要seccodehidden是请求验证码参数时候的seccodehidden ,

/uc_server/admin.php?m=seccode&seccodeauth=edb516z36gQ7e0R0YNxCOpXry3WTyJMf0qr5YKmJBpyWU0I&780815552

看到这里:

/uc_server/control/admin/user.php  第70-77行

				$seccodehidden = urldecode(getgpc('seccodehidden', 'P'));

				$seccode = strtoupper(getgpc('seccode', 'P'));

				$seccodehidden = $this->authcode($seccodehidden, 'DECODE', $authkey);

				require UC_ROOT.'./lib/seccode.class.php';

				seccode::seccodeconvert($seccodehidden);

				if(empty($seccodehidden) || $seccodehidden != $seccode) {

					$errorcode = UC_LOGIN_ERROR_SECCODE;

				}

  

从post的数据中获取:$seccodehidden   $seccode 两个参数,然后对$seccodehidden进行解码

$seccodehidden = $this->authcode($seccodehidden, 'DECODE', $authkey);

解码$seccodehidden参数

require /lib/seccode.class.php ,然后调用seccodeconvert($seccodehidden)函数

	function seccodeconvert(&$seccode) {

		$s = sprintf('%04s', base_convert($seccode, 10, 20));

		$seccodeunits = 'CEFHKLMNOPQRSTUVWXYZ';

		$seccode = '';

		for($i = 0; $i < 4; $i++) {

			$unit = ord($s{$i});

			$seccode .= ($unit >= 0x30 && $unit <= 0x39) ? $seccodeunits[$unit - 0x30] : $seccodeunits[$unit - 0x57];

		}

	}

  对$seccodehidden进行计算,算出$seccodehidden的值,与$seccode的值做对比,如果和计算出来的相同,就进行下一步。

也就是说我们只要第一次验证的时候保持$seccodehidden   $seccode  两个参数不变,并且绕过ip限制,这样我们就能对后台进行爆破了。

后台对于返回的提示消息,设计的规范但是不友好。比如用户名错误,他就返回用户名不存在,这样就能爆破用户名了,当用户名正确的时候,他返回:用户名无效,或密码错误, 这样我们就能爆破密码。

如果要修复的话,ip不应该从用户可控的地方来判断,直接从REMOTE_ADDR来判断。

  

Discuz!X 系列 HTTP_X_FORWARDED_FOR 绕过限制进行密码爆破的更多相关文章

  1. Kali系列之Hydra/Medusa mysql密码爆破

    hydra hydra -L /home/chenglee/zidian/user.txt -P /home/chenglee/zidian/wordlist.TXT 192.168.137.133 ...

  2. 关于Discuz! X系列远程代码执行漏洞

    一.漏洞起源 突然有同事反馈,无法注册 看到这里不了解的同行估计一年懵逼,这里也是常用的漏洞攻击,可以肯定的是  badwords.php文件被修改了 ,可以查看这个文件内容 <?php $_C ...

  3. [视频]K8飞刀 Discuz! X 系列(1.5 2.5 3.x)产品升级漏洞GetShell教程

    K8飞刀 Discuz! X 系列(1.5 2.5 3.x)产品升级漏洞GetShell教程 https://pan.baidu.com/s/1bnv2euz

  4. iOS 13 绕过锁屏密码漏洞

    iOS 13 很快就要发布了,在未正式发布之前,西班牙的安全研究员 Jose Rodriguez 公开了一个漏洞,能够查绕过锁屏密码查看通讯录.照片.短信. 在 iOS 设备上,当屏幕锁定时,用户无法 ...

  5. 【漏洞分析】Discuz! X系列全版本后台SQL注入漏洞

    0x01漏洞描述 Discuz!X全版本存在SQL注入漏洞.漏洞产生的原因是source\admincp\admincp_setting.php在处理$settingnew['uc']['appid' ...

  6. Web安全测试学习笔记-DVWA-登录密码爆破(使用Burp Suite)

    密码爆破简单来说,就是使用密码本(记录了若干密码),用工具(手工也可以,if you like...)一条条读取密码本中的密码后发送登录请求,遍历密码本的过程中可能试出真正的密码. 本文学习在已知登录 ...

  7. 安全测试——利用Burpsuite密码爆破(Intruder入侵)

    本文章仅供学习参考,技术大蛙请绕过. 最近一直在想逛了这么多博客.论坛了,总能收获一堆干货,也从没有给博主个好评什么的,想想着实有些不妥.所以最近就一直想,有时间的时候自己也撒两把小米,就当作是和大家 ...

  8. 数据库密码爆破HexorBase

    数据库密码爆破HexorBase   数据库服务是服务器上最常见的一类服务.由于数据库保存大量的敏感信息,所以它的安全非常重要.测试数据库服务安全的重要方式,就是检查口令的强壮度.   Kali Li ...

  9. Burp_用户名密码爆破

    burp 全称 Burp Suite, 是用于攻击web 应用程序的集成平台.它包含了许多工具,可以抓包可以爆破也可以扫描漏洞. 主要组件如下: Proxy--是一个拦截HTTP/S的代理服务器,作为 ...

随机推荐

  1. Dynamics 365 for CRM:CRM与ADFS安装到同一台服务器,需修改ADFS服务端口号

    CRM与ADFS安装到同一台服务器时,出现PluginRegistrationTool 及 CRM Outlook Client连接不上,需要修改ADFS的服务端口号,由默认的808修改为809: P ...

  2. vue 源码学习----build/config.js

    1. process 这个process是什么?为何都没有引入就可以使用了呢? process 对象是一个 global (全局变量),提供有关信息,控制当前 Node.js 进程.作为一个对象,它对 ...

  3. WHCTF-babyre

    WHCTF-babyre 首先执行file命令得到如下信息 ELF 64-bit LSB executable, x86-64 尝试用IDA64打开,定位到关键函数main发现无法F5,尝试了修复无果 ...

  4. 利用1.1.1.1进行DNS网络加速,仅需2分钟让网络更快

    NEWS 近日,Cloudflare 和 APNIC联合推出了1.1.1.1DNS网络加速. Cloudflare 运行全球规模最大.速度最快的网络之一.APNIC 是一个非营利组织,管理着亚太和大洋 ...

  5. x64系统安装ODAC问题经验分享

    64bit系统安装ODAC经验分享 背景: 最近项目里面有用到 WCF+Entity Framework+oracle 这个架构用过的朋友应该都知道,Entity Framework要通过ODAC的方 ...

  6. 第一次作业:我与CS的缘分

    "既然选择了远方,便只顾风雨兼程"   --汪国真 一.结缘计算机 1.1初识计算机 当第一次看到这个作业题目的时候,我的思虑不禁回到了小时候那个对这个世界的一切充满兴趣的纯真年代 ...

  7. Java的HelloWorld程序

    Java的HelloWorld程序 1.新建文本文档,编写HelloWorld程序,最后保存时记得保存成.java格式 2.在D盘新建一个HelloJava文件夹用于保存java程序 3.使用WIN+ ...

  8. 静态关键字static用法。

    static的特点:1,static是一个修饰符,用于修饰成员.2,static修饰的成员被所有的对象所共享.3,static优先于对象存在,因为static的成员随着类的加载就已经存在了. 4,st ...

  9. 【nodejs】安装browser-sync 遇到错误提示

    首先我用的是mac电脑在我执行安装browser-sync时遇到如下问题: 因为不被允许所以我只能不安装全局了: 但是又出现了如下的新问题 纠结了半个小时,终于知道为什么会出现这个问题了, node只 ...

  10. JAVA_SE基础——4.path的临时配置&Classpath的配置

    这次,我来写下关于path的临时配置的心的 我来说个有可能的实例:如果你去到别人的电脑 又想写代码 又不想改乱别人的path配置的话  再说别人愿意你在别人的电脑上瞎配吗? 那该怎么办呢? 那没问题 ...