本文分析了phpspy2010的绕过认证漏洞,该漏洞仅存在于加密版中。通过将eval替换为echo,可以揭示源代码。问题在于密码被存储在admin['pass']中,而解密后的PHP代码允许用户构造md5加密后的admin['pass'],覆盖原有定义,从而绕过登录验证。2011年的版本已修复此问题,将定义pass的语句移到了解密代码之后。
phpspy2010可谓是webshell界很不错的一个工具,但是phpspy2010 和2011相继爆出了绕过认证漏洞,我简单分析下php2010的绕过漏洞,首先据说只有php2010的加密版才有这个漏洞,我大概看了下官方解释,估计也只有加密版才有这个问题,而且看上去应该是个失误。。。
下面具体分析:附件是2010的源代码,由于是加密的eval执行base64解密,
把eval改成echo就可以输出源代码了。
代码核心部分如下
$admin = array();
// 是否需要密码验证, true 为需要验证, false 为直接进入.下面选项则无效
$admin['check'] = true;
// 如果需要密码验证,请修改登陆密码
$admin['pass'] = 'f4f068e71e0d87bf0ad51e6214ab84e9'; //angel
//如您对 cookie 作用范围有特殊要求, 或登录不正常, 请修改下面变量, 否则请保持默认
// cookie 前缀
$admin['cookiepre'] = '';
// cookie 作用域
$admin['cookiedomain'] = '';
// cookie 作用路径
$admin['cookiepath'] = '/';
// cookie 有效期
$admin['cookielife'] = 86400;
error_reporting(7);
@set_magic_quotes_runtime(0);
ob_start();
$mtime = explode(' ', microtime());
$starttime = $mtime[1] + $mtime[0];
define('SA_ROOT', str_replace('\\', '/', dirname(__FILE__)).'/');
define('IS_WIN', DIRECTOR
最低0.47元/天 解锁文章
扫一扫
1012
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
