代码审计四(找回密码问题)

最新推荐文章于 2022-12-06 18:47:28 发布
最新推荐文章于 2022-12-06 18:47:28 发布
阅读量965 收藏 1
点赞数
文章标签: 安全 php 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45521281/article/details/106159773
版权

验证Token

在找回密码的时候生成一个token,然后存储到数据库中,然后把找回密码的地址发送到邮箱中,这个url中就含有token,由用户点开后就可以修改密码。

延伸

一些CMS的密码加密方式很难被破掉,有时候拿到了管理的密码破不掉

利用方法:一般找回密码是用的邮箱,首先把管理的邮箱注入出来,然后再去找回密码,再把数据库的token注入出来,构造一下地址就可以重置密码了。

rand函数生成Token

$resetpwd=md5(rand());

对 rand() 函数生成出来的数字进行md5,某些平台下(例如:Windows )Rand_max只有32768,如果需要的范围大于32768,那么指定min和max参数就可以生成大于Rand_MAX的数了,或者考虑使用mt_rand()来替代它

$encryptstring=md5($this->time.$verification.$auth);

$timetemp=date("Y-m-d H:i:s",$this->time);

$auth=util::strcode($timetemp,'ENCODE');`

算法的 KEY 并没有初始化,如果知道了这个时间,就可以生成加密的字符串

DedeCMS-V5.7前台任意用户密码重置

漏洞影响:
该漏洞允许攻击者修改任意前台用户密码。

漏洞利用条件:
1,开启会员模块
2,攻击者拥有一个正常的会员账号
3,目标没有设置安全问题

漏洞分析

漏洞文件为/member/resetpassword.php:
这个文件是来找回用户密码的,这里可以通过邮箱找回,也可以通过安全问题找回。
在这里插入图片描述
来看看代码中问题出在哪里:
在这里插入图片描述
这里先接受了一个id变量,用来查询用户。
接下来看到:
在这里插入图片描述
这里的dopost变量就是找回用户密码的操作,可以通过邮件找回也可以通过安全问题找回,上图就是通过安全问题找回($dopost == “safequestion”)
首先mid变量通过正则来过滤提交的id参数,然后拼接到下面的select查询语句中,

$sql = "SELECT safequestion,safeanswer,userid,email FROM #@__member WHERE mid = '$mid'";

漏洞重点在这里:

if(empty($safequestion)) $safequestion = '';

if(empty($safeanswer)) $safeanswer = '';

判断这两个变量是否为空,是就等于空字符,这两个变量对应的就是找回密码的安全问题和安全问题的答案。
接下来判断我们在找回密码页面提交的安全问题和答案是否和数据库中存的一样,一样的话进入执行这个sn函数,这个就是找回密码的,否则不是。
问题就出在从数据库中获取safequestion,然后与传过来的数据进行判等。用的是双等号,又因为用户没有设置安全问题,数据库里面默认存的是0。
在这里插入图片描述
通过php弱类型的转换’0.0’ == '0’了。(内部运算:先是把0.0(浮点数(0.0)转换为int(0),然后字符串(‘0’)转换为int(0),最后 0==0 ,所以相等了。)

可以看到使用”0.0”,”0.”,”0e1”都可以绕过前面的判断,最后进入sn()函数,继续跟进sn()函数。
(记住这里我们的send为N)

sn()函数在文件/member/inc/inc_pwd_functions.php:
在这里插入图片描述
这里发现还是要进行发邮箱验证,继续跟进newmail函数,看看是否可以不用验证邮箱进行绕过。
在这里插入图片描述

else if ($send == 'N'){
	return ShowMsg('稍后跳转到修改页', $cfg_basehost.$cfg_memberurl."/resetpassword.php?dopost=getpasswd&id=".$mid."&key=".$randval);
}

可以看到当send为N时,直接在前端页面返回了验证码
(而我们这里刚好就是N,见前文)
又因为用户id是我们可以控制的,safequestion(默认情况)下可以绕过。

那么也就达成了修改前台任意用户密码的效果。

漏洞验证

通过分析代码我们知道我们请求的地址是这样了

http://192.168.5.149/DedeCMS-V5.7/uploads/member/resetpassword.php?dopost=safequestion&safequestion=0.0&id={userid}

这里我们注册两个个账号:
账号一 test 密码 test 这是我们的目标账号 id为2
账号二 secquan 密码 secquan 这是我们的攻击账号 id为3
在这里插入图片描述
在这里插入图片描述
这里登录了secquan的账号 ,我们要重置目标id为2的账号,发送请求url,

http://192.168.5.149/DedeCMS-V5.7/uploads/member/resetpassword.php?dopost=safequestion&safequestion=0.0&id=2

在这里插入图片描述
在这里插入图片描述
这里直接返回了邮箱验证里的验证码

这时候我们再来请求修改页URL:

http://192.168.5.149/DedeCMS-V5.7/uploads/member/resetpassword.php?dopost=getpasswd&id=2&key=ROivopAb

然后就可以直接重置密码了。

这里修改id的值即可修改对应的用户的密码。

但是这个漏洞存在一个缺陷,因为通过分析可以看出来只有没有设置安全问题的用户才会受此漏洞的影响;而且只能修改前台用户的密码。

参考:
https://blog.csdn.net/Fly_hps/article/details/79845427
https://www.cnblogs.com/-qing-/p/10849028.html

zhang三
关注
Java代码审计企业级实战
悦分享
07-15 2578
跨站请求伪造是一种使已登录用户在不知情的情况下执行某种动作的攻击。在/reset接口,因为代码@SessionAttributes("user"),将user对象从ModelMap中读出并放入session中,因此user中的answer=hhd也加入了session中。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程中执行构造的任意代码。恶意攻击者可以伪造ZIP文件中用来描述解压条目大小的字段,因此,getSize()方法的返回值是不可靠的。...
模拟cisp-pte 第五题 代码审计
小明师傅博客
06-14 2482
根据提示可能172.16.12.12是攻击者ip 我们搜索172.16.12.12.*admin.*200 很多post请求 我们访问这个页面 爆破 完事
密码找回功能可能存在的问题
weixin_34314962的博客
03-08 563
瞌睡龙 · 2013/07/17 23:510x00 背景介绍有人的地方就有江湖。互联网中,有用户注册的地方,基本就会有密码找回的功能。而密码找回功能里可能存在的漏洞,很多程序员都没有想到。而这些漏洞往往可能产生非常大的危害,如用户账号被盗等。并且这种漏洞在非常多的大互联网公司中都出现过。0x01 检测方式及案例乌云上搜索:密码找回密码修改,密码重置关键字。总结出以下7点,如有其它的还望提醒补充...
关于找回密码问题
rshl的专栏
06-21 1986
流程                      找回密码------>输入帐号与邮箱------->1:发密码到邮箱                                                                                                 2:帐号与邮箱不匹配,出错                                
PHP代码审计————6、 PHP代码审计找回密码问题
Fly_鹏程万里
05-16 440
验证Token在找回密码的时候生成一个token,然后存储到数据库中,然后把找回密码的地址发送到邮箱中,url中就含有token,由用户点开后就可以修改密码。延伸一些CMS的密码加密方式很难被破掉,有时候拿到了管理的密码破不掉利用方发:一般找回密码是用的邮箱,首先把管理的邮箱注入出来,然后再去找回密码,再把数据库的token注入出来,构造一下地址就可以重置密码了。rand函数生成Token$res...
密码找回功能可能存在的问题(补充)
swordheart的博客
04-25 626
0x00 背景介绍 以前看了一片密码找回漏洞的总结,现在又看到了一些新的情况,写出来补充一下。 链接:密码找回功能可能存在的问题 0x01 回顾 上篇文章中已有的7点如下: 1 2 3 4 5 6 7 8 <code>1. 密码找回凭证太弱,容易被爆破 2. 密码找回凭证可以从客户端、URL中直接获取 3. 密码找回凭证可以在网页源代码中直接获取 4. 密码找回的邮箱链...
代码审计】--- php代码审计方法
qq_43168364的博客
02-11 4714
代码审计需要掌握的点 PHP编程语言的特性和基础 Web前端编程基础 漏洞形成原理 代码审计思路 不同系统、中间件之间的特性差异 代码审计思路 方法一 ---- 检查敏感函数的参数,然后回溯变量,判断变量是否可控,并且有没有经过严格的过滤,这是一个逆向追踪的过程 方法二 ---- 找出哪些文件在接收外部传入的参数,然后跟踪变量的传递过程,观察是否有变量传入到高危函数里面,或者传递的过程是否有逻辑漏洞,这是一种正向追踪的方式 方法三 ---- 直接挖掘功能点漏洞,根据自身经验判断该类应用通常在哪些功能中
代码审计学习路线
网安技术分享
09-03 2647
学习代码审计分以下部分 一.编程语言 1.前端语言 html/javascript/dom元素使用,主要是为了挖掘xss漏洞,jquery 主要写一些涉及到CSRF脚本使用的或者DOM型XSS,JSON劫持等 2.后端语言 基础语法要知道,例如 变量类型,常量,数组(python 是列表,元组,字典),对象,类的调用,引用等, MVC设计模式要清楚,因为大部分目标程序都是基于MVC写的,包括不限于php,python,java。 不用会写,但是一定能看懂,而且要看懂逻辑,知道...
代码审计】那些代码审计的思路.md
最新发布
2201_75660665的博客
12-06 329
代码审计工具的实现都是基于代码审计经验开发出来用于优化工作效率的工具,我们要学好代码审计就必须要熟悉代码审计的思路。而且代码审计是基于PHP语言基础上学习的,学习代码审计最基本的要求就是能读懂代码。常见的代码审计思路有以下种:根据敏感关键字回溯参数传递过程; 查找可控变量,正向追踪变量传递过程; 寻找敏感功能点,通读功能点代码; 直接通读全文代码。 敏感函数回溯参数过程 根据敏感函数来逆向追踪参数的传递过程,是目前使用的最多的一种方式,因为大多数漏洞是由于函数的使用不当造成的。另外非函数使用不当的漏洞,如
PHP代码审计小结1
08-03
在进行PHP代码审计时,还需要关注其他安全问题,如XSS跨站脚本、SQL注入、CSRF跨站请求伪造、SSRF服务器端请求伪造等,以及第三方组件的安全性。通过综合运用上述方法,可以有效地提升Web应用程序的安全性。
php邮箱密码找回
04-13
php邮箱密码找回
thinkphp实现发送邮件密码找回功能实例
01-20
本文实例讲述了thinkphp实现发送邮件密码找回功能的方法。分享给大家供大家参考。具体实现方法如下: 首先下载mail.class.php类文件,配置文件中定义下列参数: 复制代码 代码如下:’MAIL_ADDRESS’ => ‘ivzhu@qq.com’, // 邮箱地址  ‘MAIL_SMTP’ => ‘smtp.qq.com’, // 邮箱SMTP服务器  ‘MAIL_LOGINNAME’ => ‘mail@qq.com’, // 邮箱登录帐号  ‘MAIL_PASSWORD’ => ‘123456’, // 邮箱密码  ‘MAIL_CHARSET’ => ‘UTF-8’, /
邮箱找回密码验证
06-11
public function send_email($judge_code,$user_email,$username){ import("@.ORG.My.base_mail"); //-------------------*执行邮件发送任务*-------------------// $mail=new base_mail(); //邮件内容 $message = "尊敬的".$username."先生/女士:<br />    邮箱验证:<br />随机验证码为:".$judge_code." 请复制此验证码进行验证。<br><br>此邮件为系统邮件,请勿直接回复"; $Subject='[111]找回您的帐户密码'; //发送邮件 $mail->SendMail($user_email,$message,$Subject); }
密码找回漏洞总结
zaqwescsdn的博客
06-19 2931
概述大部分是乌云知识库中的内容,已经总结的很好了,再按照自己的思路过一遍。 1.伪造请求(未注册的情况下)在请求密码修改的过程中,修改账号的手机或邮箱等联系方式,在接受到验证码后进行密码修改。 OPPO修改任意帐号密码-2 OPPO修改任意帐号密码-3 修改了接受密码手机,并且通过对账户类型的修改绕过边界。2.使用正常账户请求修改获取token 爆破(绕过次数验证) 当当网任意用户密码修改漏洞
实验吧题目之忘记密码
weixin_34256074的博客
05-18 113
题目链接:忘记了密码 http://ctf5.shiyanbar.com/10/upload/ 1、进入题目,首先查看源代码得到有用信息,邮箱地址admin@simplexue.com和代码编写工具vim 2、这些线索肯定不够的,不如输入一个字符串测试一下 3、里面提到个step2.php的文件,我们访问一下这个文件内容发现当我们在访问step2.php的时候,url自动跳转到原来的页面,我们想看...
手把手教你轻松找回忘记的密码
sylan215的软件测试技术学习
04-14 1491
后台回复「星球」,免费加入星球阅读本文大概需要 5 分钟。“二麻子,快帮我想想办法。”“咋的了?”“我有个系统的密码是浏览器记住的,现在想修改密码,但是需要先输入老密码,可是我不知道老...
安卓逆向之华山杯ctf第二题:寻找密码
darmao的博客
06-17 1344
安装后打开是这样的: 输入用户名和密码登陆扔进jeb里看看: 加壳了,看看是如何动态加载的: **依次调用了readDexFileFromApk()–>splitPayLoadFromDex() 第一个函数先将apk解压,将里边的dex文件读入到一个byte[]里,重点在splitPayLoadFromDex()函数:** int v5 = arg25.leng
CTF实验吧-忘记密码了【vim编辑器备份文件】
Sp4rkW的博客
08-01 6247
原题内容: 找回密码 格式:SimCTF{ } 解题链接:http://ctf5.shiyanbar.com/10/upload/ (略过查看源代码等最基本的步骤)首先首页让你输入注册邮箱找回密码,尝试admin,有弹窗显示消息: 复制提示信息至地址栏: 发现可以看到step2的内容然后瞬间变成step1内容,打开bp准备逐步查看,获取step2页面内容: 代...
WEB代码审计与渗透测试实战指南
内容涉及了代码审计的基本思路,强调了变量和函数在安全中的关键作用,以及如何寻找和利用潜在的安全漏洞。" 在Web应用程序代码审计中,有两个核心元素:变量和函数。变量是程序运行的基础,而函数则是执行特定任务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值