php replacebadchar,简析60度CMS的Cookies欺骗漏洞

最新推荐文章于 2021-03-20 18:01:49 发布
最新推荐文章于 2021-03-20 18:01:49 发布
阅读量87 收藏
点赞数
文章标签: php replacebadchar
本文详细介绍了60度CMS中存在的Cookies欺骗漏洞,通过分析源代码揭示了登录验证过程中的缺陷,允许攻击者通过伪造Cookies实现未授权访问。作者分享了漏洞挖掘的经验,强调了防范此类漏洞的重要性,并提出使用Session代替Cookies以提高安全性。
摘要由CSDN通过智能技术生成

前言

本篇文章只是为了和大家分享漏洞的挖掘经验和思路,同时让大家认识到 Cookies 欺骗漏洞的危害和严重性。

漏洞发现时间:2017.8.16,因产商无回应,漏洞至今仍未修复

环境搭建

工具

搭建

安装好小旋风ASP服务器后,把60度CMS的所有文件复制到小旋风ASP服务器的site8001目录下,然后访问http://localhost:8001即可。

c8ec688174b2faf5e8b42a9defdd2934.png

源码分析

我们先看一下后台登录页面(login.asp)的源代码action=replace(trim(request("Action")),"'","''")

if action="logout" then

session("cmsid") = ""

session("cmsname") = ""

response.Cookies("cmsname") = ""

response.Cookies("cmsid") = ""

得知登录页面的两个Cookies值分别为cmsname和cmsid

接着往下看if code <> session("code") then

showmsg "验证码错误!","login.asp"

end if

set rs = conn.execute("select * from 60du_Admin where AdminName = '"&ReplaceBadChar(username)&"' and Password = '"&md5(password,32)&"'")

if rs.eof then

showmsg "用户名或密码错误!","login.asp"

elseif rs("IsActive")=1 then

showmsg "你的用户名已被锁定,你不能登陆!请联系管理员。","login.asp"

else

session("cmsid") = rs("id")

session("cmsname") = rs("AdminName")

response.Cookies("cmsname") = rs("AdminName")

response.Cookies("cmsid") = rs("id")

ip=Request.ServerVariables("REMOTE_ADDR")

Call conn.execute("update 60du_Admin set LoginTime='"&Now()&"',LoginIP='"&ip&"' where AdminName='"&username&"'",0)

Call InsertLog(1, 0, UserName, ip, "登录成功", ComeUrl, "")

showmsg 0,"index.asp"

可以看到,网页会把输入的管理员帐号和管理员ID分别赋值给cmsname和cmsid这两个cookies值

如果密码正确就会跳转到后台首页

并添加上述的两个cookies值

这时我们再来看一下后台首页(index.asp)的源代码

发现头部引用了check.asp文件

60609bbece0ab8a40bf9b1e57e6e3ec3.png

找到并打开看看

发现这是检查用户登录状态的文件,源代码如下

'判断用户是否登陆

if session("cmsname")="" and instr(CStr(Request.ServerVariables("SCRIPT_NAME")),site_install&AdminPath&"/login.asp")=0 then

if ReplaceBadChar(Trim(request.Cookies("cmsname")))="" then

response.Redirect(site_install&AdminPath&"/login.asp")

elseif Session("admin_id") =null then

Response.Write("")

else

ReplaceBadChar(Trim(session("cmsname")))=ReplaceBadChar(Trim(request.Cookies("cmsname")))

ReplaceBadChar(Trim(session("cmsid")))=ReplaceBadChar(Trim(request.Cookies("cmsid")))

end if

end if

%>

可以看到,网页虽然有验证用户登录状态,但只仅仅验证了Cookies的内容

只要两个Cookies的内容都对得上,就能访问后台首页

于是,造成了一个典型的Cookies欺骗漏洞

60度CMS的默认管理员为admin,默认管理员ID为1

所以只要根据这两个信息创建Cookies,我们就可以通过伪造Cookies来实现越权访问后台

漏洞利用

访问后台登录页面

使用firebug添加两个Cookies及其内容

分别是:cmsname=admin;cmsid=1

注意这里的日期一定要修改(比如说修改为2018年),否则Cookies无法添加

790cd33854c9b9ad7b14da85d167e73b.png

16738322b367b813bd50c92fb017892e.png

接着访问后台首页(index.asp),发现已经绕过验证,成功访问了后台主页,实现了Cookies欺骗。

3dfa8311879c2b157464b6471e9104a9.png

挖掘经验

挖掘Cookies欺骗漏洞时,可以查看登录页面和主页面的源代码,找到有关验证用户身份的源代码,查看是否存在欺骗的可能。

总结

现在大家应该都已经了解,Cookies欺骗漏洞的危害非常大,所以Cookies欺骗漏洞是一定要防范的。

既然 Cookies 是不安全的,而我们又必须把用户登录信息存储下来,那么应该存储在什么地方呢? 我们注意到,在 ASP 中,除了 Cookies 外,还有 Session 可以储存信息。Session 是储存在服务器上的,不是客户端随随便便就能够更改的,所以具有极高的安全性。这样,大家就可以把所有 Cookies 的代码均换作 Session 了。

*本文作者:J1anCan,转载请注明来自 FreeBuf.COM

syhakh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[推荐]ASP编程通用函数收藏大全第1/2页
10-30
该函数名为ReplaceBadChar,同样由阿里西西创建。它的功能是过滤掉输入字符串strChar中的常见非法字符,如单引号(')、星号(*)、问号(?)、左括号('(')、右括号(')')、小于号(')和句点('.')。通过多次使用Replace函数...
php replacebadchar,整理了php过滤字符串几个例子
weixin_39802055的博客
03-20 113
class XRequest{public static function getPost( $name = "" ){if ( empty( $name ) ){return $_POST;}if ( isset( $_POST[$name] ) ){return $_POST[$name];}return "";}public static function getGet( $name = "...
Oracle GoldenGate字符集
sinat_24568041的博客
09-26 2399
Oracle GoldenGate将字符集设置分为两部分:数据平台字符集与操作系统区域的字符集。 从Oracle GoldenGate 11.2.1和更高版本开始,OGG默认支持字符集的转化。 OGG字符集设置准则:Target字符集与Source字符集一致,或者Target字符集是Source字符集的超集。 与字符集相关的参数: 1.SOURCECHARSET ZHS16GBK
OGG 字符转换问题
rgb_rgb的博客
08-05 2696
ERROR   OGG-03517  Oracle GoldenGate Delivery for Oracle, test.prm:  Conversion from character set UTF-16 of source column description to character set zhs16gbk of target column DESCRIPTION failed bec
goldengate复制过程字符集处理一例
weixin_34357267的博客
09-30 131
源端是oracle, al32utf8,表里有乱码,目标端是sybase cp936,两端的DB都不能改字符集,而且源端是目标端的超集,当复制有乱码的数据(非中文或英文数字等),目标端replicat abended. 经查,在replicat参数中使用trailcharset utf-8, replaceBadChars 目标端进程可继续复制,并替换源端不可转换到目标表中。 ...
php replacebadchar,userlogin.php
weixin_33900596的博客
03-20 341
/*** @CopyRight (C)2006-2011 LiangJing Development team Inc.* @WebSite www.liangjing.org www.asp99.cn* @Author Liangjing.org * @Brief liangjingcms v1.x* @Update 2011.09.11* @Id ...
Asp过滤某些特殊字符的函数
网络Online
11-04 948
Function ReplaceBadChar(strChar)    If strChar = "" Or IsNull(strChar) Then        ReplaceBadChar = ""        Exit Function    End If    Dim strBadChar, arrBadChar, tempChar, i    strBadChar = "+,,--
后台 数据读取 相同数据
qq_39595615的博客
09-06 179
网站后台 运行如果出现 两条相同数据 可能会是 数据库中 用户 重复
CMSDJPHP 七禧舞曲管理系统cookies欺骗漏洞 0day
MichaelJScofield的专栏
12-23 3030
本人首发于T00ls,转一份来自己博客。转载请注明出处。 微博:http://weibo.com/yinyongyou 应该是通杀所有PHP版本 。最新版本没有测试。从补丁来看,漏洞依然存在。 这是一个神级漏洞,体现了程序员的神逻辑。 看代码 admin/admin_check.php <?php $CD_Version='V1.0'; $CD_Build='201
大学生电子设计大赛-0-30V 4A数控稳压电源资料.rar
08-12
大学生电子设计大赛-0-30V 4A数控稳压电源资料.rar
基于Springboot和Vue的网上商城系统源码 网上商城系统代码(高分毕设)
08-12
网上商城系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
大学生电子设计大赛-《数字电子技术》 电子教案.rar
08-12
大学生电子设计大赛-《数字电子技术》 电子教案.rar
2023-04-06-项目笔记 - 第二百二十三阶段 - 4.4.2.221全局变量的作用域-221 -2024.08.12
最新发布
08-12
2023-04-06-项目笔记-第二百二十三阶段-课前小分享_小分享1.坚持提交gitee 小分享2.作业中提交代码 小分享3.写代码注意代码风格 4.3.1变量的使用 4.4变量的作用域与生命周期 4.4.1局部变量的作用域 4.4.2全局变量的作用域 4.4.2.1全局变量的作用域_1 4.4.2.221局变量的作用域_221- 2024-08-12
datax依赖的clickhouse包
08-12
datax依赖的clickhouse包
毕业设计ASP实现的毕业论文提交与审核系统(源代码+论文).zip
08-12
**ASP实现的毕业论文提交与审核系统资源概述** ASP(Active Server Pages)技术因其简便的服务器端脚本编写能力和广泛的兼容性,在构建毕业论文提交与审核系统中发挥了重要作用。该系统以ASP为核心,结合数据库技术(如SQL Server或Access),为高校师生提供了一个高效、安全的在线平台,用于毕业论文的提交、存储、审核及反馈。 系统主要包括学生端和教师端两大模块。学生端允许学生上传自己的毕业论文,填写相关信息,并跟踪审核进。同时,系统提供了论文格式校验和版本管理功能,确保提交的论文符合学校要求。教师端则支持教师查看学生提交的论文,进行在线审核,并给出评分和反馈意见。系统还具备权限管理功能,确保不同用户只能访问其权限范围内的数据。 ASP实现的毕业论文提交与审核系统,不仅简化了传统纸质提交和审核的繁琐流程,还提高了工作效率和数据的准确性。通过该系统,师生可以随时随地进行论文的提交和审核,极大地方便了双方的沟通和协作。此外,系统还具备数据备份和恢复功能,确保数据的安全性和可靠性。 综上所述,ASP实现的毕业论文提交与审核系统是一个功能全面、操作简便、安全
java-springboot+vue旅游管理系统毕业设计实现源码(项目源码-说明文档)
08-12
java-springboot+vue旅游管理系统 项目关键技术 开发工具:IDEA 、Eclipse 编程语言: Java 数据库: MySQL5.7+ 后端技术:Springboot 前端技术:Vue、HTML5、css、JavaScript 关键技术:springboot、vue、MYSQL、MAVEN 数据库工具:Navicat、SQLyog
ISTQB(专家级-改进测试过程-测试过程评估)考试大纲_模拟题&答案.zip
08-12
ISTQB(专家级-改进测试过程-测试过程评估)考试大纲_模拟题&答案
基于Python+OpenCV 双目立体视觉的图像匹配与测距源码+文档说明(高分项目)
08-12
基于Python+OpenCV 双目立体视觉的图像匹配与测距+源代码+文档说明,本资源中的源码都是经过本地编译过可运行的,评审分达到95分以上。资源项目的难比较适中,内容都是经过助教老师审定过的能够满足学习、使用需求,如果有需要的话可以放心下载使用。 基于Python+OpenCV 双目立体视觉的图像匹配与测距源码+文档说明(高分项目) 基于Python+OpenCV 双目立体视觉的图像匹配与测距源码+文档说明(高分项目) 基于Python+OpenCV 双目立体视觉的图像匹配与测距源码+文档说明(高分项目) 基于Python+OpenCV 双目立体视觉的图像匹配与测距源码+文档说明(高分项目)基于Python+OpenCV 双目立体视觉的图像匹配与测距源码+文档说明(高分项目)基于Python+OpenCV 双目立体视觉的图像匹配与测距源码+文档说明(高分项目)基于Python+OpenCV 双目立体视觉的图像匹配与测距源码+文档说明(高分项目)基于Python+OpenCV 双目立体视觉的图像匹配与测距源码+文档说明(高分项目)基于Python+OpenCV 双目立体视觉的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值