dedecms /member/buy_action.php Weak Password Vulnerability Algorithm Vul
catalog
. 漏洞描述
. 漏洞触发条件
. 漏洞影响范围
. 漏洞代码分析
. 防御方法
. 攻防思考
1. 漏洞描述
. 漏洞由mchStrCode函数弱算法(异或算法: 得其中2知余下1)->
. 导致通过获取到的明文和密文可以逆出经过MD5加密的密匙key->
. 破解MD5得到密匙->
. 利用密匙加密攻击Payload数据,并发送->
,在受害者服务端经过parse_str函数和foreach遍历最终覆盖表前缀变量$GLOBALS[cfg_dbprefix]实现注入
//漏洞利用过程提交的数据因为加密,隐藏了攻击payload的特征,和正常用户操作提交的数据并无二致,很难通过WAF等流量检测防御
Relevant Link:
http://m.blog.csdn.net/blog/jay900323/41311407
2. 漏洞触发条件
0x1: 漏洞测试
firefox的一个插件User Agent Switcher来设置UA,安装插件后,添加一个UA头,其中的User Agent清空,description随便填。设置为空是因为mchStrCode函数中的密匙含$_SERVER["HTTP_USER_AGENT"],如果不为空将加大md5的破解难度,设置为空则密匙为固定10位长度。设置好UA后
. 注册并登陆会员中心
. 在"我的织梦"->
. "消费中心"->
. "会员升级/点卡充值"中的"购买新点卡"选择"100点卡"
. 在点击购买前使用Live HTTP header监听
因为$_REQUEST获取参数是从$_GET->$_POST->$_COOKIE依次获取,所以$pr_encode明文的的内容为POST的内容“product=card&pid=1”加上COOKIE的内容,然后加密并打印加密后的字符串到html页面。明文和密文都获取到了,通过异或算法,获得MD5加密后的$key
<?php
//明文
$key = "product=card&pid=1";
//密文
$string = "QEJXUxNTQwlVABcGF0QMVAwFFmBwZzV1ZGd%2FJVhQQAIXWAMCBEZeBwAAUVJTAgoNA0BTBgdWBhZ8UgJVYkdTEywmDAxDdFRQVWVLUhR5c2tpAg4vVQFYVFQHBAVZUV5VBVEGAFdQBRIhVVVRfF9fXghkXllTXFRRCAdRAAUDBQUecwNUUnhZBgwMZV0IVW5rU1t1U1MNVVIOWFFRA1UEAwcEUQZaBUB1eWJpJiogcHcub2RmfA0XUwNUUldbEkoPVFkHVUMbX0BdRQdEXltYTxUKQQ";//加密的pd_encode字符串,需要修改
$string = base64_decode(urldecode($string));
for($i=; $i<strlen($string); $i++)
{
$code .= $string[$i] ^ $key[$i];
}
//待暴力破解的$key
echo "md5(\$key):" .$code;
?>
接下来开始暴力破解$GLOBALS['cfg_cookie_encode'](因为我们控制$_SERVER["HTTP_USER_AGENT"]为空),取逆出的key的前16位破解md5即可,得到的$GLOBALS['cfg_cookie_encode']就是一个密文,我们不需要再次去逆向这个$GLOBALS['cfg_cookie_encode']了,可以直接使用它的密文进行后续的攻击
到了这一步,发起攻击的条件都准备好了,我们可以利用获得的$key,复用mchStrCode函数代码,对我们的变量覆盖payload进行加密,等效于利用了dedecms自己的加密通道发起了变量覆盖攻击,利用变量覆盖漏洞覆盖$GLOBALS[cfg_dbprefix]实现注入
<?php
$GLOBALS['cfg_cookie_encode'] = 'CaQIm1790O';
function mchStrCode($string,$action='ENCODE')
{
$key = substr(md5($GLOBALS['cfg_cookie_encode']),,);
$string = $action == 'ENCODE' ? $string : base64_decode($string);
$len = strlen($key);
$code = '';
for($i=; $i<strlen($string); $i++)
{
$k = $i % $len;
$code .= $string[$i] ^ $key[$k];
}
$code = $action == 'DECODE' ? $code : base64_encode($code);
return $code;
}
Relevant Link:
http://drops.wooyun.org/papers/979
3. 漏洞影响范围
4. 漏洞代码分析
我们从黑客攻击步骤的角度,逐步来分析一下漏洞代码,同时讨论补丁前和补丁后的代码
\dedecms5.5\data\sys_pay.cache.php
function mchStrCode($string, $action='ENCODE')
{
$key = substr(md5($_SERVER["HTTP_USER_AGENT"].$GLOBALS['cfg_cookie_encode']),,);
$string = $action == 'ENCODE' ? $string : base64_decode($string);
$len = strlen($key);
$code = ''; for($i = ; $i < strlen($string); $i++)
{
$k = $i % $len;
//补丁前是简单的异或算法
$code .= $string[$i] ^ $key[$k];
}
$code = $action == 'DECODE' ? $code : base64_encode($code);
return $code;
}
我们第一步的目标是推导出用户加密的$key,我们从mchStrCode使用流这个角度入手,即分析哪些地方调用了mchStrCode这个函数
/member/buy_action.php
if(isset($pd_encode) && isset($pd_verify) && md5("payment".$pd_encode.$cfg_cookie_encode) == $pd_verify)
{
//调用了mchStrCode函数对$pd_encode变量解密并通过parse_str函数注册变量
parse_str(mchStrCode($pd_encode,'DECODE'),$mch_Post);
//foreach遍历$mch_Post数组,这里如果我们可以控制$pd_encode解码后的内容,就可以注册覆盖任意变量
foreach($mch_Post as $k => $v)
$$k = $v;
$row = $dsql->GetOne("SELECT * FROM #@__member_operation WHERE mid='$mid' And sta=0 AND product='$product'");
if(!isset($row['buyid']))
{
ShowMsg("请不要重复提交表单!", 'javascript:;');
exit();
}
$buyid = $row['buyid'];
}
..
确定了攻击向量是变量覆盖,接下来要分析的是如何构造触发这条攻击向量,继续回到\dedecms5.5\data\sys_pay.cache.php中的mchStrCode函数
function mchStrCode($string, $action='ENCODE')
{
$key = substr(md5($_SERVER["HTTP_USER_AGENT"].$GLOBALS['cfg_cookie_encode']),,);
..
for($i = ; $i < strlen($string); $i++)
{
$k = $i % $len;
//补丁前是简单的异或算法
$code .= $string[$i] ^ $key[$k];
}
..
}
其中构成$key的关键参数
. $_SERVER["HTTP_USER_AGENT"]: 浏览器的USER_AGENT,攻击者可控
. $GLOBALS['cfg_cookie_encode']: 未知,需要暴力破解
/install/index.php的$rnd_cookieEncode字符串的生成同样是加强了强度,$rnd_cookieEncode字符串最终也就是前面提到的$GLOBALS['cfg_cookie_encode']
$rnd_cookieEncode = chr(mt_rand(ord('A'),ord('Z'))).chr(mt_rand(ord('a'),ord('z'))).chr(mt_rand(ord('A'),ord('Z'))).chr(mt_rand(ord('A'),ord('Z'))).chr(mt_rand(ord('a'),ord('z'))).mt_rand(,).chr(mt_rand(ord('A'),ord('Z')));
这段代码生成的加密密匙很有规律,所有密钥数为26^6*(9999-1000)=2779933068224,把所有可能的组合生成字典,用passwordpro暴力跑MD5或者使用GPU来破解,可以得到原始密钥
总结一下上文
. 要暴力破解$GLOBALS['cfg_cookie_encode'],就需要知道$key密文
. 因为mchStrCode函数的简单异或算法的关系,$key密文可以通过明文和密文异或到得到
/*
假设有明文A,密匙B,密文C,则
C = A ^ B
B = A ^ C
*/
所以现在问题就转换为了: 如何得到明文以及加密后的字符串呢
/member/buy_action.php
//$pr_encode是从$_REQUEST获取的,也就是说明文可控
$pr_encode = '';
foreach($_REQUEST as $key => $val)
{
$pr_encode .= $pr_encode ? "&$key=$val" : "$key=$val";
} $pr_encode = str_replace('=', '', mchStrCode($pr_encode)); $pr_verify = md5("payment".$pr_encode.$cfg_cookie_encode); $temp_arr = NULL;
$tpl = new DedeTemplate();
//$pr_encode加密后写到html页面
$tpl->LoadTemplate(DEDEMEMBER.'/templets/buy_action_payment.htm');
$tpl->Display();
\dedecms5.5\member\templets\buy_action_payment.htm
..
<input type="hidden" name="pd_encode" value="<?php echo $pr_encode;?>">
<input type="hidden" name="pd_verify" value="<?php echo $pr_verify;?>">
..
我们需要的明文和密文都能获取到
Relevant Link:
http://webscan.360.cn/news/news128
5. 防御方法
/member/buy_action.php
function mchStrCode($string, $operation = 'ENCODE')
{
$key_length = ;
$expiry = ;
$key = md5($GLOBALS['cfg_cookie_encode']);
$fixedkey = md5($key);
$egiskeys = md5(substr($fixedkey, , ));
$runtokey = $key_length ? ($operation == 'ENCODE' ? substr(md5(microtime(true)), -$key_length) : substr($string, , $key_length)) : '';
$keys = md5(substr($runtokey, , ) . substr($fixedkey, , ) . substr($runtokey, ) . substr($fixedkey, ));
$string = $operation == 'ENCODE' ? sprintf('%010d', $expiry ? $expiry + time() : ).substr(md5($string.$egiskeys), , ) . $string : base64_decode(substr($string, $key_length)); $i = ; $result = '';
$string_length = strlen($string);
for ($i = ; $i < $string_length; $i++)
{
$result .= chr(ord($string{$i}) ^ ord($keys{$i % }));
}
if($operation == 'ENCODE')
{
return $runtokey . str_replace('=', '', base64_encode($result));
}
else
{
if((substr($result, , ) == || substr($result, , ) - time() > ) && substr($result, , ) == substr(md5(substr($result, ).$egiskeys), , ))
{
return substr($result, );
}
else
{
return '';
}
}
}
Relevant Link:
http://www.dedecms.com/pl/
6. 攻防思考
思考这种攻击向量,问题的根源不在明文可控、明文、密文泄漏,这些都是对一个WEB应用来说必须的,而根源在于用于密码的算法不能采用简单的异或算法,应该禁止黑客仅仅通过明密文就可以逆向出$key的密文
Copyright (c) 2015 LittleHann All rights reserved
dedecms /member/buy_action.php Weak Password Vulnerability Algorithm Vul的更多相关文章
- dedecms /member/flink_main.php SQL Injection Vul
catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 会员模块中存在的SQL注入 Relevant Link http://w ...
- dedecms /member/uploads_edit.php SQL Injection Vul
catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Dedecms 5.3版本下的member/uploads_edit.p ...
- dedecms /member/resetpassword.php SQL Injection Vul
catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 DEDEcms SQL注入漏洞导致可以修改任意用户密码 2. 漏洞触发条 ...
- dedecms /member/reg_new.php SQL Injection Vul
catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Dedecms会员中心注入漏洞 2. 漏洞触发条件 http://127 ...
- dedecms /member/pm.php SQL Injection Vul
catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Dedecms会员中心注入漏洞 Relevant Link http:/ ...
- dedecms /member/myfriend_group.php SQL Injection Vul
catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Dedecms会员中心注入漏洞 Relevant Link http:/ ...
- dedecms /member/mtypes.php SQL Injection Vul
catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Dedecms会员中心注入漏洞 Relevant Link http:/ ...
- Linux System Account SSH Weak Password Detection Automatic By System API
catalog . Linux弱口令攻击向量 . Linux登录验证步骤 . PAM . 弱口令风险基线检查 1. Linux弱口令攻击向量 0x1: SSH密码暴力破解 hydra -l root ...
- dedecms /member/edit_baseinfo.php SQL Injection Vul
catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 会员模块中存在的SQL注入 Relevant Link: http:// ...
随机推荐
- elk-redis
yum install redis -y vim /etc/redis [root@linux-node1 etc]# grep '^[a-z]' /etc/redis.conf daemonize ...
- 用微信小程序做H5游戏尝试
微信小程序发布后,公司虽然没有拿到第一批内测资格,但作为微信亲密合作伙伴,一定要第一时间去尝试啦.现在微信小程序刚发布还在测试阶段,可以说是1.0版本,所以框架和结构内容都还不多,相关的文档跟微信AP ...
- 全球第一本基于Bootstrap V3.x的图书《深入理解Bootstrap》终于上市了,再次免费送书15本【活动结束】
先说活动规则,再说书的事 经过将近1年的努力,终于有了第一本自己独立编写的书:<深入理解Bootstrap>,基于最新版V 3.1 ,侧重于源码详解.架构分析.插件扩展(全新开发)实战.为 ...
- U-boot与linux的关系
基本上没有啥关系,U-boot的话你也知道,说白了就像是Dos工具箱,本身算是个精简的Linux系统了,主要是负责硬件的初始化和引导,本身带有一些工具,作为引导程序,常作为嵌入式设备的引导.当真正的系 ...
- c++ 指针(一)
指针:是说指针名表示的是地址.是一个变量,存储的是值的地址,而不是值本身 *运算符被称为间接值或解除引用运算符也可以叫做取地址符 声明一个指针 int * p_data; * p_data的类型为in ...
- Safari 下用 "location.href = filePath" 实现下载功能的诡异 bug
Safari 下的一些诡异 bug 我们已经领教一二,比如前文中说的 无痕浏览模式下使用 localStorage 的 API 就会报错.今天我们要讲的是利用 location.href = file ...
- <实训|第五天>通过搭建NFS,FTP实现共享文件附Vim脚本游戏
先说个事情:我周末是不更新这个系列教程的,不过其他内容的会更新,我周末就整理这一周的各种内容到我的微信公众号中,提供给大家! 期待已久的linux运维.oracle"培训班"终于开 ...
- 强迫症的福利——我的第一个VS插件,对using排序!
首先来看看VS自带的using整理功能: 长短不一,看着让人生厌!这是哪个门子的整理?越来越乱了好吗! 难道就没有一款,由短到长——金字塔搬的排序方案吗? 于是各种百度: “VS 插件 using排序 ...
- NLPIR分词工具的使用(java环境下)
一.NLPIR是什么? NLPIR(汉语分词系统)由中科大张华平博士团队开发,主要功能包括:中文分词,词性标注,命名实体识别,用户词典功能,详情见官网:http://ictclas.nlpir.org ...
- JavaScript学习笔记-new Date() 与 Date() 的区别
var today1 = Date() //返回一个字符串(string),没有getDate等日期对象方法,内容为当前时间 var today2 = new Date() //返回一日期对象,内容为 ...