PHP弱類型：WordPress Cookie偽造-php教程-PHP中文網

首頁

後端開發

php教程

PHP弱類型：WordPress Cookie偽造

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Aug 10, 2016 am 08:48 AM

cookiecurlhashhmacwordpress

1 PHP弱型別

　　PHP是弱型別語言，所以變數會因為使用場景的不同自動進行型別轉換。 PHP中用 == 以及！ = 進行相等判斷時，會自動進行型別轉換，用 === 以及！ == 進行判斷時不會自動轉換類型。

<span>1</span> <span>php
</span><span>2</span><span>$a</span> = 3<span>;
</span><span>3</span><span>$b</span> = '3vic'<span>;
</span><span>4</span><span>var_dump</span>(<span>$a</span> == <span>$b</span>);<span>//</span><span>true</span><span>5</span><span>var_dump</span>(<span>$a</span> != <span>$b</span>);<span>//</span><span>false</span><span>6</span><span>var_dump</span>(<span>$a</span> === <span>$b</span>);<span>//</span><span>true</span><span>7</span><span>var_dump</span>(<span>$a</span> !== <span>$b</span>);<span>//</span><span>false</span><span>8</span> ?>

　說明：在PHP中字串轉換成整數時，如果是數字開頭就會轉換成前面的數字（'3vic' -> 3），如果不是數字開頭，那麼就會轉換成0（ 'vic' -> 0）

2 WordPress程式碼

WordPress 3.8.1 與WordPress 3.8.2🜎 Cookie 組成

　　客戶端後台只驗證其中的一條Cookie，如下圖

<span>1</span> <span>php
</span><span>2</span><span>//</span><span> WordPress 3.8.1</span><span>3</span><span>if</span> (<span>$hmac</span> != <span>$hash</span><span>) {}
</span><span>4</span><span>//</span><span> WordPress 3.8.2</span><span>5</span><span>if</span> ( hash_hmac('md5', <span>$hmac</span>, <span>$key</span>) !== hash_hmac('md5', <span>$hash</span>, <span>$key</span><span>) )  {}
</span><span>6</span> ?>

　　其中Cookie名稱

wordpress_bbfa5b726c6b7a9cf3cda9370be391d md5(

siteurl

) 其中

siteurl為WordPress的網址，此處網址為http://www.test.ichunqiu,md5加密後為c47f4a97d0321c1980bb76fc00d1e78f，其部分也可省。 型別使用者名稱過期時間登入成功伺服器端賦予客戶端的hash值對應變數$username

admin1433403595cf50f3b50eed94dd0fdc3d3ea2c7bbbwp-includes/pluggable.php　　在程式碼所使用的變數中，透過改變客戶端Cookie 的方式可控制的有$username結合PHP Hash

<span></span>	<span></span>	cf50f3b50eed94dd0fdc3d3ea2c7bbb 　　程式碼	第543-549行<span></span> wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin\|<span>1433403595</span>\|cf50f3b50eed94dd0fdc3d3ea2c7bbb; path=/wp-admin; domain=www.test.ichunqiu; HttpOnly
使用者名，$expiration 有效期，又因為其中使用者名稱是固定的，因此只有	$expiration<span></span> ，所以我們可以從改變	$expiration <span></span>的方法來改變	$hash<span></span>。

比較缺陷

　　有以下幾種可能使

$hmac == $hash 或真值，

$hash

為以字元開頭的字串; 將客戶端的Cookie中

$hmac 值改為0，然後在if ( $hmac != $hash ) { var_dump($hmac);die();發現印出來$hmac 的結果是string '0'

識別為整數呢，代碼如下：

<span>1</span> <span>php
</span><span>2</span><span>$key</span> = wp_hash(<span>$username</span> . <span>$pass_frag</span> . '|' . <span>$expiration</span>, <span>$scheme</span><span>);
</span><span>3</span><span>$hash</span> = hash_hmac('md5', <span>$username</span> . '|' . <span>$expiration</span>, <span>$key</span><span>);
</span><span>4</span><span>if</span> ( <span>$hmac</span> != <span>$hash</span><span> ) {
</span><span>5</span>     do_action('auth_cookie_bad_hash', <span>$cookie_elements</span><span>);
</span><span>6</span><span>return</span><span>false</span><span>;
</span><span>7</span> }

　　其中的

0e156464513131 　　其中的0e156464513131 會被識別為0乘以10的156464513131方會被識別為0乘以10的156464513131方，全是數字時就會與$hmac的值為'0' 時相等，所以我們可以將客戶端的Cookie設定為類似wordpress_c47f4a97d0321c1980bb76fc00d1e78f4a97d0321c1980bb76fc00d1e78fadmin 33403595的位置）的方法來碰撞伺服器端，一旦$hash 的值為0e開頭後面全是數字即可驗證通過。假設碰撞成功，就修改瀏覽器的Cookie，直接存取後台位址，就可以成功登陸後台。 3 測試腳本透過改變客戶端Cookie裡過期時間的值，不斷嘗試登入後台，找出可以進入後台的時間點，從而實現Cookie偽造登入後台。

<span>1</span> <span>php
</span><span>2</span><span>var_dump</span>('0' == '0e156464513131');<span>//</span><span>true</span>

說明：

理論上32位的MD5值以0e開頭的大概

三億分之一

，碰撞到可以利用的幾分率。

5 修復方案　〜== = 分別改為 === 和 ！ == 或將比較的兩個變數使用MD5再加密一次。

學習筆記：http://ichunqiu.com/course/167

以上就介紹了PHP弱型：WordPress Cookie偽造，包含了方面的內容，希望對PHP教學有興趣的朋友有幫助。

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

PHP：服務器端腳本語言的簡介Apr 16, 2025 am 12:18 AM

PHP是一種服務器端腳本語言，用於動態網頁開發和服務器端應用程序。 1.PHP是一種解釋型語言，無需編譯，適合快速開發。 2.PHP代碼嵌入HTML中，易於網頁開發。 3.PHP處理服務器端邏輯，生成HTML輸出，支持用戶交互和數據處理。 4.PHP可與數據庫交互，處理表單提交，執行服務器端任務。

PHP和網絡：探索其長期影響Apr 16, 2025 am 12:17 AM

PHP在過去幾十年中塑造了網絡，並將繼續在Web開發中扮演重要角色。 1)PHP起源於1994年，因其易用性和與MySQL的無縫集成成為開發者首選。 2)其核心功能包括生成動態內容和與數據庫的集成，使得網站能夠實時更新和個性化展示。 3)PHP的廣泛應用和生態系統推動了其長期影響，但也面臨版本更新和安全性挑戰。 4)近年來的性能改進，如PHP7的發布，使其能與現代語言競爭。 5)未來，PHP需應對容器化、微服務等新挑戰，但其靈活性和活躍社區使其具備適應能力。

為什麼要使用PHP？解釋的優點和好處Apr 16, 2025 am 12:16 AM

PHP的核心優勢包括易於學習、強大的web開發支持、豐富的庫和框架、高性能和可擴展性、跨平台兼容性以及成本效益高。 1)易於學習和使用，適合初學者；2)與web服務器集成好，支持多種數據庫；3)擁有如Laravel等強大框架；4)通過優化可實現高性能；5)支持多種操作系統；6)開源，降低開發成本。

揭穿神話：PHP真的是一種死語嗎？Apr 16, 2025 am 12:15 AM

PHP沒有死。 1)PHP社區積極解決性能和安全問題，PHP7.x提升了性能。 2)PHP適合現代Web開發，廣泛用於大型網站。 3)PHP易學且服務器表現出色，但類型系統不如靜態語言嚴格。 4)PHP在內容管理和電商領域仍重要，生態系統不斷進化。 5)通過OPcache和APC等優化性能，使用OOP和設計模式提升代碼質量。

PHP與Python辯論：哪個更好？Apr 16, 2025 am 12:03 AM

PHP和Python各有優劣，選擇取決於項目需求。 1)PHP適合Web開發，易學，社區資源豐富，但語法不夠現代，性能和安全性需注意。 2)Python適用於數據科學和機器學習，語法簡潔，易學，但執行速度和內存管理有瓶頸。

PHP的目的：構建動態網站Apr 15, 2025 am 12:18 AM

PHP用於構建動態網站，其核心功能包括：1.生成動態內容，通過與數據庫對接實時生成網頁；2.處理用戶交互和表單提交，驗證輸入並響應操作；3.管理會話和用戶認證，提供個性化體驗；4.優化性能和遵循最佳實踐，提升網站效率和安全性。

PHP：處理數據庫和服務器端邏輯Apr 15, 2025 am 12:15 AM

PHP在數據庫操作和服務器端邏輯處理中使用MySQLi和PDO擴展進行數據庫交互，並通過會話管理等功能處理服務器端邏輯。 1）使用MySQLi或PDO連接數據庫，執行SQL查詢。 2）通過會話管理等功能處理HTTP請求和用戶狀態。 3）使用事務確保數據庫操作的原子性。 4）防止SQL注入，使用異常處理和關閉連接來調試。 5）通過索引和緩存優化性能，編寫可讀性高的代碼並進行錯誤處理。