簡析60度CMS的Cookies欺騙漏洞
前言
本篇文章只是為了和大家分享漏洞的挖掘經驗和思路,同時讓大家認識到 Cookies 欺騙漏洞的危害和嚴重性。
漏洞發現時間:2017.8.16,因產商無回應,漏洞至今仍未修復
環境搭建
工具
小旋風ASP伺服器
http://www.jb51.net/softs/35167.html#download
60度CMS
http://down.chinaz.com/soft/23548.htm
搭建
安裝好小旋風ASP伺服器後,把60度CMS的所有文件複製到小旋風ASP伺服器的site8001目錄下,然後訪問http://localhost:8001即可。
源碼分析
我們先看一下後台登錄頁面(login.asp)的源代碼
action=replace(trim(request("Action")),""","""")
if action="logout" then
session("cmsid") = ""
session("cmsname") = ""
response.Cookies("cmsname") = ""
response.Cookies("cmsid") = ""
得知登錄頁面的兩個Cookies值分別為cmsname和cmsid
接著往下看
if code <> session("code") then
showmsg "驗證碼錯誤!","login.asp"
end if
set rs = conn.execute("select * from 60du_Admin where AdminName = ""&ReplaceBadChar(username)&"" and Password = ""&md5(password,32)&""")
if rs.eof then
showmsg "用戶名或密碼錯誤!","login.asp"
elseif rs("IsActive")=1 then
showmsg "你的用戶名已被鎖定,你不能登陸!請聯繫管理員。","login.asp"
else
session("cmsid") = rs("id")
session("cmsname") = rs("AdminName")
response.Cookies("cmsname") = rs("AdminName")
response.Cookies("cmsid") = rs("id")
ip=Request.ServerVariables("REMOTE_ADDR")
Call conn.execute("update 60du_Admin set LoginTime=""&Now()&"",LoginIP=""&ip&"" where AdminName=""&username&""",0)
Call InsertLog(1, 0, UserName, ip, "登錄成功", ComeUrl, "")
showmsg 0,"index.asp"
可以看到,網頁會把輸入的管理員帳號和管理員ID分別賦值給cmsname和cmsid這兩個cookies值
如果密碼正確就會跳轉到後台首頁
並添加上述的兩個cookies值
這時我們再來看一下後台首頁(index.asp)的源代碼
發現頭部引用了check.asp文件
找到並打開看看
發現這是檢查用戶登錄狀態的文件,源代碼如下
<!--#include file="../inc/md5.asp"--><%
"判斷用戶是否登陸
if session("cmsname")="" and instr(CStr(Request.ServerVariables("SCRIPT_NAME")),site_install&AdminPath&"/login.asp")=0 then
if ReplaceBadChar(Trim(request.Cookies("cmsname")))="" then
response.Redirect(site_install&AdminPath&"/login.asp")
elseif Session("admin_id") =null then
Response.Write("<script>alert("登陸超時!");parent.location = ""&site_install&AdminPath&"/login.asp";</script>")
else
ReplaceBadChar(Trim(session("cmsname")))=ReplaceBadChar(Trim(request.Cookies("cmsname")))
ReplaceBadChar(Trim(session("cmsid")))=ReplaceBadChar(Trim(request.Cookies("cmsid")))
end if
end if
%>
可以看到,網頁雖然有驗證用戶登錄狀態,但只僅僅驗證了Cookies的內容
只要兩個Cookies的內容都對得上,就能訪問後台首頁
於是,造成了一個典型的Cookies欺騙漏洞
60度CMS的默認管理員為admin,默認管理員ID為1
所以只要根據這兩個信息創建Cookies,我們就可以通過偽造Cookies來實現越權訪問後台
漏洞利用
訪問後台登錄頁面
使用firebug添加兩個Cookies及其內容
分別是:cmsname=admin;cmsid=1
注意這裡的日期一定要修改(比如說修改為2018年),否則Cookies無法添加
接著訪問後台首頁(index.asp),發現已經繞過驗證,成功訪問了後台主頁,實現了Cookies欺騙。
挖掘經驗
挖掘Cookies欺騙漏洞時,可以查看登錄頁面和主頁面的源代碼,找到有關驗證用戶身份的源代碼,查看是否存在欺騙的可能。
總結
現在大家應該都已經了解,Cookies欺騙漏洞的危害非常大,所以Cookies欺騙漏洞是一定要防範的。
既然 Cookies 是不安全的,而我們又必須把用戶登錄信息存儲下來,那麼應該存儲在什麼地方呢? 我們注意到,在 ASP 中,除了 Cookies 外,還有 Session 可以儲存信息。Session 是儲存在伺服器上的,不是客戶端隨隨便便就能夠更改的,所以具有極高的安全性。這樣,大家就可以把所有 Cookies 的代碼均換作 Session 了。
*本文作者:J1anCan,轉載請註明來自 FreeBuf.COM
※美國網件ReadyNAS監控系統非認證遠程命令執行漏洞分析
※再曝實錘,更多證據顯示俄羅斯或干預了去年的美國大選
※如何用ESP8266做個釣魚測試WIFI
※亂曬登機牌很可能導致你的賬戶信息被盜用
※PC傻瓜式安裝黑蘋果並打造成全能逆向工作站
TAG:FreeBuf |