dede cookie.helper.php,dedecms前台任意用户登录漏洞重现及分析

最新推荐文章于 2024-05-01 12:00:00 发布
最新推荐文章于 2024-05-01 12:00:00 发布
阅读量570 收藏
点赞数
文章标签: dede cookie.helper.php

0x00 概述

2018年1月,网上爆出dedecms v5.7 sp2前台任意用户登录漏洞,利用此漏洞可以让管理员登录前台,是重置管理员后台密码的组合拳中的第二式。

组合拳第一式:dedecms前台任意用户密码重置漏洞重现及分析

0x01漏洞重现

需要先将用户0000001通过审核,再访问

http://127.0.0.1:8999/lsawebtest/vulnenvs/dedecms/dedecms-v57-utf8-sp2-full/member/index.php?uid=0000001

d61871349f841f04fffde4899e62a390.png

获取cookie中last_vid_ckMd5值48741df1f12d04bd

再登录0000001帐号

然后设置DeDeUserID_ckMd5为last_vid_ckMd5的值,并设置DedeUserID为0000001。

18f403f5cc508c4bb29eff4f4932a808.png

成功以管理员登录前台

964e70b4a5dc21a6072629c276a3b5fe.png

0x02修复方案

若不影响业务,可以尝试注释下面代码

member/index.php:163~164

PutCookie(‘last_vtime’, $vtime, 3600*24, ‘/’);

PutCookie(‘last_vid’, $last_vid, 3600*24, ‘/’);

关注官方补丁。

0x03漏洞分析

判断用户登录的函数在

include\memberlogin.class.php:292

function IsLogin()

{

if($this->M_ID > 0) return TRUE;

else return FALSE;

}

再到138行

class MemberLogin

{

var $M_ID;

var $M_LoginID;

var $M_MbType;

var $M_Money;

var $M_Scores;

var $M_UserName;

var $M_Rank;

var $M_Face;

var $M_LoginTime;

var $M_KeepTime;

var $M_Spacesta;

var $fields;

var $isAdmin;

var $M_UpTime;

var $M_ExpTime;

var $M_HasDay;

var $M_JoinTime;

var $M_Honor = '';

var $memberCache='memberlogin';

//php5构造函数

function __construct($kptime = -1, $cache=FALSE)

{

global $dsql;

if($kptime==-1){

$this->M_KeepTime = 3600 * 24 * 7;

}else{

$this->M_KeepTime = $kptime;

}

$formcache = FALSE;

$this->M_ID = $this->GetNum(GetCookie("DedeUserID"));

$this->M_LoginTime = GetCookie("DedeLoginTime");

$this->fields = array();

$this->isAdmin = FALSE;

if(empty($this->M_ID))

{

$this->ResetUser();

}else{

$this->M_ID = intval($this->M_ID);

if ($cache)

{

$this->fields = GetCache($this->memberCache, $this->M_ID);

if( empty($this->fields) )

{

$this->fields = $dsql->GetOne("Select * From `#@__member` where mid='{$this->M_ID}' ");

} else {

$formcache = TRUE;

}

} else {

$this->fields = $dsql->GetOne("Select * From `#@__member` where mid='{$this->M_ID}' ");

}

可以看到

$this->M_ID = $this->GetNum(GetCookie("DedeUserID"));

在看看GetNum函数,在398行

function GetNum($fnum){

$fnum = preg_replace("/[^0-9\.]/", '', $fnum);

return $fnum;

}

替换非数字字符为空。

还有

$this->M_ID = intval($this->M_ID);

整体来说就是从cookie中获取DedeUserID的值,去除非数字字符,再经过整形转化,形成mid,再进入数据库查询。

继续跟进GetCookie函数,

include\helpers\cookie.helper.php:54

if ( ! function_exists('GetCookie'))

{

function GetCookie($key)

{

global $cfg_cookie_encode;

if( !isset($_COOKIE[$key]) || !isset($_COOKIE[$key.'__ckMd5']) )

{

return '';

}

else

{

if($_COOKIE[$key.'__ckMd5']!=substr(md5($cfg_cookie_encode.$_COOKIE[$key]),0,16))

{

return '';

}

else

{

return $_COOKIE[$key];

}

}

}

}

关键一行

if($_COOKIE[$key.'__ckMd5']!=substr(md5($cfg_cookie_encode.$_COOKIE[$key]),0,16))

这个$cfg_cookie_encode是未知的,需要任意文件读取或下载才能获得,这形似加salt的方式保证了cookie只能服务端生成,防止客户端伪造,这里需要DedeUserID__ckMd5的值 == ($cfg_cookie_encode.$_COOKIE[DedeUserID])的md5的前16位才能通过验证。

至此,进入下一阶段,看看DedeUserID_ckMd5和DedeUserID的来源,他们在登录后产生,来看看登录代码,

include\memberlogin.class.php:469

function CheckUser(&$loginuser, $loginpwd)

{

global $dsql;

//检测用户名的合法性

$rs = CheckUserID($loginuser,'用户名',FALSE);

//用户名不正确时返回验证错误,原登录名通过引用返回错误提示信息

if($rs!='ok')

{

$loginuser = $rs;

return '0';

}

//matt=10 是管理员关连的前台帐号,为了安全起见,这个帐号只能从后台登录,不能直接从前台登录

$row = $dsql->GetOne("SELECT mid,matt,pwd,logintime FROM `#@__member` WHERE userid LIKE '$loginuser' ");

if(is_array($row))

{

if($this->GetShortPwd($row['pwd']) != $this->GetEncodePwd($loginpwd))

{

return -1;

}

else

{

//管理员帐号不允许从前台登录

if($row['matt']==10) {

return -2;

}

else {

$this->PutLoginInfo($row['mid'], $row['logintime']);

return 1;

}

}

}

else

{

return 0;

}

}

/**

* 保存用户cookie

*

* @access public

* @param string $uid 用户ID

* @param string $logintime 登录限制时间

* @return void

*/

function PutLoginInfo($uid, $logintime=0)

{

global $cfg_login_adds, $dsql;

//登录增加积分(上一次登录时间必须大于两小时)

if(time() - $logintime > 7200 && $cfg_login_adds > 0)

{

$dsql->ExecuteNoneQuery("Update `#@__member` set `scores`=`scores`+{$cfg_login_adds} where mid='$uid' ");

}

$this->M_ID = $uid;

$this->M_LoginTime = time();

$loginip = GetIP();

$inquery = "UPDATE `#@__member` SET loginip='$loginip',logintime='".$this->M_LoginTime."' WHERE mid='".$uid."'";

$dsql->ExecuteNoneQuery($inquery);

if($this->M_KeepTime > 0)

{

PutCookie('DedeUserID',$uid,$this->M_KeepTime);

PutCookie('DedeLoginTime',$this->M_LoginTime,$this->M_KeepTime);

}

else

{

PutCookie('DedeUserID',$uid);

PutCookie('DedeLoginTime',$this->M_LoginTime);

}

}

可以看到登录验证成功就

PutCookie('DedeUserID',$uid,$this->M_KeepTime);

而这个$uid是mid(不是用户名),

自然要来看看PutCookie方法了,

跟进PutCookie方法,

include\helpers\cookie.helper.php:21

if ( ! function_exists('PutCookie'))

{

function PutCookie($key, $value, $kptime=0, $pa="/")

{

global $cfg_cookie_encode,$cfg_domain_cookie;

setcookie($key, $value, time()+$kptime, $pa,$cfg_domain_cookie);

setcookie($key.'__ckMd5', substr(md5($cfg_cookie_encode.$value),0,16), time()+$kptime, $pa,$cfg_domain_cookie);

}

}

关键是这几行

setcookie($key, $value, time()+$kptime, $pa,$cfg_domain_cookie);

setcookie($key.'__ckMd5', substr(md5($cfg_cookie_encode.$value),0,16),

这里就设置了DedeUserID和DedeUserID_ckMd5。

现在再进入下一个阶段,若需要伪造cookie使管理员登录前台,必须满足

DedeUserID__ckMd5的值 == ($cfg_cookie_encode.$_COOKIE[DedeUserID])的md5的前16位

而管理员的DedeUserID已知为1,$cfg_cookie_encode无法得到,所以关键在于找到满足这个条件的DedeUserID__ckMd5密文。

那就搜索PutCookie看看哪个键会满足这个条件,

c1003b53908a3e7f953730ac33b81e0c.png

member/index.php:139

关键代码:

if($vtime - $last_vtime > 3600 || !preg_match('#,'.$uid.',#i', ','.$last_vid.',') )

{

if($last_vid!='')

{

$last_vids = explode(',',$last_vid);

$i = 0;

$last_vid = $uid;

foreach($last_vids as $lsid)

{

if($i>10)

{

break;

}

else if($lsid != $uid)

{

$i++;

$last_vid .= ','.$last_vid;

}

}

}

else

{

$last_vid = $uid;

}

PutCookie('last_vtime', $vtime, 3600*24, '/');

PutCookie('last_vid', $last_vid, 3600*24, '/');

可以看出$last_vid为空则把$uid赋值给$last_vid,而这个$uid就是可控的用户名,再

PutCookie('last_vid', $last_vid, 3600*24, '/');

这里假如构造出类似0000001或1abcde这样的用户名,因为last_vid__ckMd5的值 == ($cfg_cookie_encode.$_COOKIE[last_vid])的md5的前16位,满足条件!

mid=return $_COOKIE[$key];

接着在登录类的构造函数中mid经过GetNum和intval函数的过滤,就形成了1,接着进入数据库查询再展示到页面。

漏洞触发流程:

第一阶段:

访问member/index.php?uid=0000001产生last_vid和last_vid__ckMd5

第二阶段:

登录成功—>PutCookie(设置$key和$key.’__ckMd5′)—>产生DedeUserID(uid)和DedeUserID__ckMd5—>修改DedeUserID(uid)和DedeUserID__ckMd5分别为last_vid和last_vid__ckMd5—>满足GetCookie的验证条件

第三阶段:

IsLogin(M_ID)—>__construct(GetCookie(“DedeUserID”))—>GetCookie(验证DedeUserID__ckMd5值是否等于substr(md5($cfg_cookie_encode.$_COOKIE[DedeUserID]),0,16))

—>满足条件—>返回0000001给mid—>GetNum和intval函数过滤—>mid=1—>入库查询—>管理员登录前台

0x04结语

还是比较犀利的一个漏洞,是修改管理员后台密码的组合拳的第二式。

0x05参考资料

weixin_42364539
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DedeCms V5.7 sp2任意用户登录组合+前台任意用户密码修改 复现
qq_43691308的博客
11-17 658
1、注册用户 用户名为000001(PHP弱类型,0000001 --》 1 用来登录admin) 2、自己复现时要去管理员界面把注册的会员设为正常使用,否则可能请求uid=0000001失败 3、访问 /member/index.php?uid=0000001成功后刷新抓包,复制last_vid__ckMd5 4、访问member 替换DedeUserID为0000001,DedeUserID__ckMd5的值为刚才的last_vid__ckMd5的值 替换前 替换后 5、发包,用户切换为ad
1 dede织梦视频教程-php dede安装.zip
04-09
包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。【项目质量】:所有源码都经过严格测试,可以直接运行。功能在确认正常工作后才上传。【适用人群】:适用...
DedeCms织梦系统漏洞复现
LIU6636LIU的博客
03-13 1795
1 部署好之后发现系统默认管理路径是dede,登陆管理后台可以通过地址然后有dedecms安全提示直接打开根目录修改dede文件夹为LYP重新进去管理员后台对数据进行还原看一下网站的地址接着生成新的网站然后即可访问网站,CMS搭建完毕首先打开后台管理页面开启会员功能这样就可以注册一个账户。
【代码审计】DedeCMS---任意前台用户登录cookie伪造)
weixin_30457465的博客
03-23 700
漏洞触发点在include/memberlogin.class.php中的MemberLogin类中的登录校验函数 //php5构造函数 function __construct($kptime = -1, $cache=FALSE) { global $dsql; if($kptime==-1){ $this...
渗透实战:dedeCMS任意用户密码重置到内网getshell
最新发布
wangluoanquan111的博客
05-01 602
DedeCMS 是一个基于 PHP 和 MySQL 的开源 CMS 系统,它是国内很多网站使用的 CMS 系统之一。在使用 DedeCMS的过程中,我们需要重视其安全性,因为安全问题可能会导致网站数据泄露、网站被黑、系统被入侵等严重后果。本文将介绍如何进行 DedeCMS 安全测试。DedeCMS是一款国产的开源CMS系统,具有使用简单、功能强大、可扩展性好等特点。然而,像其他CMS系统一样,DedeCMS也存在一些安全问题,其中任意密码重置漏洞是其中一个比较严重的漏洞
DeDecms任意用户登录,管理员密码重置漏洞
鸥鹭忘机
07-28 3723
基本信息 漏洞编号:SSV-97087 实验版本:dedecms v5.7SP2 下载地址:http://updatenew.dedecms.com/base-v57/package/DedeCMS-V5.7-UTF8-SP2.tar.gz 参考文章:https://www.seebug.org/vuldb/ssvid-97074 前置知识 如果要把一个key存储到cookie中,织梦的存储方式是把key和加密key同时存储在cookie中。每次读取用户传来的key时,将key进行加密后与传来的加密k
dedecms v5.7 sp2前台任意用户登录(包括管理员)
一个安全研究员
07-13 6104
如题
dedecms漏洞
https://www.cnblogs.com/zpchcbd/
05-10 2778
5.7 sp1 爆数据库 /plus/search.php?keyword=xxx&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=102&arrs1[]=95&arrs1[]=115&arrs1[]=116&arrs1[]=121&a...
dedecms前台任意用户名漏洞复现
wow_iamfree的博客
10-31 260
漏洞说明: 2018 年 1 月 10 日, 锦行信息安全公众号公开了一个关于 DeDeCMS 前台任意用户密码修改漏洞的细节[2]。 2018 年 1 月 10 日,Seebug 漏洞平台[3]收录该漏洞漏洞编号为 SSV-97074,知道创宇 404 漏洞应急团队成功复现该漏洞。 形成原因: 由于php弱类型比较形成绕过 限制: 只影响前台账户 只能修改未设置安全问题的账户 漏洞复现: 先搭建好漏洞环境官网链接,试了一下5.6和5.7版本都存在这一漏洞。 先注册一个账号,不设置任何安全
dedecms批量漏洞扫描.zip_dedecms_dedecms 扫描器_dedecms漏洞_dedecms路径扫描_批量扫描
07-13
dedecms批量漏洞扫描,大家可以自己试试效果
基于PHP的信丰php生活网整站系统 dede内核.zip
08-29
【标题】"基于PHP的信丰php生活网整站系统 dede内核.zip" 提供的是一个使用PHP语言开发的生活服务平台网站系统,该系统的核心基于DEDECMS(织梦内容管理系统)。DEDECMS是一个广泛应用于建站的开源CMS,特别适合于...
基于PHP的大气黑色包装印刷公司dede模板.zip
07-24
【标题】"基于PHP的大气黑色包装印刷公司dede模板.zip"所指的是一款专为包装印刷公司设计的网站模板,该模板采用了大气且专业的黑色主题,以PHP编程语言为基础,结合了DEDECMS(织梦内容管理系统)进行构建。DEDECMS...
dede cookie.helper.php,dedecms v5.7 sp2前台任意用户登录(包括管理员)
weixin_39951929的博客
03-18 197
dedecms v5.7 sp2前台任意用户登录(包括管理员)前言我们继续来说一下dedecms最新的几个漏洞,今天是一个前台任意用户登录漏洞,该漏洞结合上一次提到的前台任意密码修改漏洞可以直接修改管理员的密码,剩下的就是找后台了,废话不多说,我们开始吧漏洞版本还是2018-1-09发行的最新版本 mark漏洞影响前台用户可以登录其他任意用户,包括管理员漏洞利用条件攻击者必须注册一个账户开启了...
DeDeCMSv5.7 SP2正式版前台任意用户密码修改漏洞简报
inskeyzh的博客
11-28 317
一、漏洞概述 1.简介 织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 2018年1月10日,锦行信息安全公众号公开了一个关于DeDeCMS前台任意用户密码修改漏洞的细节。 2.漏洞限制 (1)只影
dedecms页面获取会员状态的代码
wugerm的专栏
03-18 1191
已登陆:显示:欢迎 未登陆 显示: 请登录 代码: 复制代码 {dede:php}        require_once(DEDEMEMBER."/config.php");        $uid = $cfg_ml->M_LoginID;         if(!$uid){            echo '登录        |加入';        }els
织梦DedeCMScookie存储分析
IT技术宅-北方的刀郎
03-21 3316
织梦DedeCMScookie存储分析 dedecmscookie设置特别有意思,我们通常都是直接重写cookie。最多也就是用key/val的键/值对的形式来做。但是我们看dede,不但重写了cookie的写如,读取,删除,而且还对cookie做了必要的验证。 首先我们看dedecmscookie写入。 function PutCookie($key, $value, $kpt
阿里云服务器提示dedecms cookies泄漏导致SQL漏洞解决办法
PHP错误汇总
12-19 147
织梦DEDECMS cookies泄漏导致SQL漏洞修复方法,跟着秀站网技术一起玩转织梦吧。 漏洞分析dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。 解决办法如下: 打开文件member/inc/inc_archives_functions.php,搜索(大概在239行的样子) echo "<input type=\"hidden\" name=\"de
dede cookie.helper.php,织梦DEDEcookie和session的应用
weixin_39550486的博客
03-18 155
织梦DEDE中用到了cookie和session,在织梦DEDE后台用的是session,在会员管理软件首页用的是cookie,前台和后台用到的验证码是通过session来达成验证的,大家先从DEDE后台开始剖析,织梦DEDE系统中的session的应用。 当大家打开后台,通过抓取头文件,如下图所示。通过上图大家可以看到,已经创建了一个session 文件。大家剖析一下织梦DEDE从打开后缀到登录...
php keep user login,dedecms后台无法登录用户密码都正确登陆后空白解决办法
weixin_42517019的博客
03-11 260
页面显示正常,用户名和密码输入没有问题,结果显示一片空白,根本无法进入后台,于是我开始查找问题所在。我先找到到dede下的login.php,经过我各种断点之后,发现是79行的:$cuserLogin->keepUser();有问题,$cuserLogin是userLogin类的对象,userLogin类的位置在dedecms的include中的userlogin.class.php,在29...
/DedeCMS/dede/file_manage_control.php
05-27
`/DedeCMS/dede/file_manage_control.php` 是织梦(DedeCMS) 的一个文件管理控制脚本,用于管理网站中的文件和目录。通过该脚本,网站管理员可以上传、下载、删除、编辑和移动文件,以及创建、删除和移动目录等操作。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值