美文网首页
记一次thinkcmf 的验证码漏洞挖掘和复现

记一次thinkcmf 的验证码漏洞挖掘和复现

作者: 有时右逝 | 来源:发表于2018-11-23 12:41 被阅读0次

    前言

    现在网络安全问题日益严重,作为一个技术人员,不可不去了解下如何防护各种攻击。
    本人是安全菜鸟,在学习安全之余,尝试着寻找身边的漏洞,了解攻击之道,再根据攻击之道,增加防护措施。下面分享下我的近期漏洞发现,并分析该漏洞产生原因和修复方案 。

    你可以学习

    • 了解一种验证码攻击的方案
    • 针对性做好同类型的检查和防护

    警告

    • 漏洞已经提交给官方,最新版本已经被修复
    • 请勿恶意攻击其他站点。

    什么是thinkcmf

    image.png

    很多站点基于thinkcmf搭建。百度搜索发现相关网页有46万之多的数量级。可见应用广泛。

    image.png

    漏洞的来源

    验证码是所有网站都常见的组件,thinkcmf也不例外,其登录界面需要输入验证码。其地址如下
    http://localhost:81/captcha/new.html?height=38&width=160&font_size=20

    传递了3个参数,分别代表宽度、高度、字体大小。
    我一时兴起,修改了下参数,发现服务器没有做检查。


    image.png

    因此这里应该存在漏洞。

    代码分析

    thinkcmf是开源的,官网有源码地址,下载源码地址后进行分析。

    <?php
    // +----------------------------------------------------------------------
    // | ThinkCMF [ WE CAN DO IT MORE SIMPLE ]
    // +----------------------------------------------------------------------
    // | Copyright (c) 2013-2018 http://www.thinkcmf.com All rights reserved.
    // +----------------------------------------------------------------------
    // | Licensed ( http://www.apache.org/licenses/LICENSE-2.0 )
    // +---------------------------------------------------------------------
    // | Author: Dean <zxxjjforever@163.com>
    // +----------------------------------------------------------------------
    
    namespace cmf\controller;
    
    use think\captcha\Captcha;
    use think\Request;
    
    class CaptchaController
    {
        /**
         * captcha/new?height=50&width=200&font_size=25&length=4&bg=243,251,254&id=1
         * @param Request $request
         * @return \think\Response
         */
        public function index(Request $request)
        {
            $config = [
                // 验证码字体大小(px)
                'fontSize' => 25,
                // 验证码字体大小(px)
                'useCurve' => true,
                // 是否画混淆曲线
                'useNoise' => true,
                // 验证码图片高度
                'imageH'   => 0,
                // 验证码图片宽度
                'imageW'   => 0,
                // 验证码位数
                'length'   => 4,
                // 背景颜色
                'bg'       => [255, 255, 255],
            ];
    
            $fontSize = $request->param('font_size', 25, 'intval');
            if ($fontSize > 8) {
                $config['fontSize'] = $fontSize;
            }
    
            $imageH = $request->param('height', '');
            if ($imageH != '') {
                $config['imageH'] = intval($imageH);
            }
    
            $imageW = $request->param('width', '');
            if ($imageW != '') {
                $config['imageW'] = intval($imageW);
            }
    
            $length = $request->param('length', 4, 'intval');
            if ($length > 2) {
                $config['length'] = $length;
            }
    
            $bg = $request->param('bg', '');
    
            if (!empty($bg)) {
                $bg = explode(',', $bg);
                array_walk($bg, 'intval');
                if (count($bg) > 2 && $bg[0] < 256 && $bg[1] < 256 && $bg[2] < 256) {
                    $config['bg'] = $bg;
                }
            }
    
            $id = $request->param('id', 0, 'intval');
            if ($id > 5 || empty($id)) {
                $id                   = '';
                $config['captcha_id'] = $id;
            }
    
            $response = hook_one('captcha_image', $config);
            if (empty($response)) {
                $defaultCaptchaConfig = config('captcha');
                if ($defaultCaptchaConfig && is_array($defaultCaptchaConfig)) {
                    $config = array_merge($config, $defaultCaptchaConfig);
                }
                $captcha  = new Captcha($config);
                $response = $captcha->entry($id);
            }
            @ob_clean();// 清除输出缓存
            return $response;
        }
    }
    
    

    其中直接获取了传递的参数。没有做上限判断。
    根据代码,参数height=50&width=200&font_size=25&length=4&bg=243,251,254&id=1
    都可以自定义。

    再继续追踪代码。产生验证码的地址再这里

    <?php
    // +----------------------------------------------------------------------
    // | ThinkPHP [ WE CAN DO IT JUST THINK ]
    // +----------------------------------------------------------------------
    // | Copyright (c) 2006-2015 http://thinkphp.cn All rights reserved.
    // +----------------------------------------------------------------------
    // | Licensed ( http://www.apache.org/licenses/LICENSE-2.0 )
    // +----------------------------------------------------------------------
    // | Author: yunwuxin <448901948@qq.com>
    // +----------------------------------------------------------------------
    
    namespace think\captcha;
    
    use think\Session;
    
    class Captcha
    {
        protected $config = [
            'seKey'    => 'ThinkPHP.CN',
            // 验证码加密密钥
            'codeSet'  => '2345678abcdefhijkmnpqrstuvwxyzABCDEFGHJKLMNPQRTUVWXY',
            // 验证码字符集合
            'expire'   => 1800,
            // 验证码过期时间(s)
            'useZh'    => false,
            // 使用中文验证码
            'zhSet'    => '们以我到他会作时要动国产的一是工就年阶义发成部民可出能方进在了不和有大这主中人上为来分生对于学下级地个用同行面说种过命度革而多子后自社加小机也经力线本电高量长党得实家定深法表着水理化争现所二起政三好十战无农使性前等反体合斗路图把结第里正新开论之物从当两些还天资事队批点育重其思与间内去因件日利相由压员气业代全组数果期导平各基或月毛然如应形想制心样干都向变关问比展那它最及外没看治提五解系林者米群头意只明四道马认次文通但条较克又公孔领军流入接席位情运器并飞原油放立题质指建区验活众很教决特此常石强极土少已根共直团统式转别造切九你取西持总料连任志观调七么山程百报更见必真保热委手改管处己将修支识病象几先老光专什六型具示复安带每东增则完风回南广劳轮科北打积车计给节做务被整联步类集号列温装即毫知轴研单色坚据速防史拉世设达尔场织历花受求传口断况采精金界品判参层止边清至万确究书术状厂须离再目海交权且儿青才证低越际八试规斯近注办布门铁需走议县兵固除般引齿千胜细影济白格效置推空配刀叶率述今选养德话查差半敌始片施响收华觉备名红续均药标记难存测士身紧液派准斤角降维板许破述技消底床田势端感往神便贺村构照容非搞亚磨族火段算适讲按值美态黄易彪服早班麦削信排台声该击素张密害侯草何树肥继右属市严径螺检左页抗苏显苦英快称坏移约巴材省黑武培著河帝仅针怎植京助升王眼她抓含苗副杂普谈围食射源例致酸旧却充足短划剂宣环落首尺波承粉践府鱼随考刻靠够满夫失包住促枝局菌杆周护岩师举曲春元超负砂封换太模贫减阳扬江析亩木言球朝医校古呢稻宋听唯输滑站另卫字鼓刚写刘微略范供阿块某功套友限项余倒卷创律雨让骨远帮初皮播优占死毒圈伟季训控激找叫云互跟裂粮粒母练塞钢顶策双留误础吸阻故寸盾晚丝女散焊功株亲院冷彻弹错散商视艺灭版烈零室轻血倍缺厘泵察绝富城冲喷壤简否柱李望盘磁雄似困巩益洲脱投送奴侧润盖挥距触星松送获兴独官混纪依未突架宽冬章湿偏纹吃执阀矿寨责熟稳夺硬价努翻奇甲预职评读背协损棉侵灰虽矛厚罗泥辟告卵箱掌氧恩爱停曾溶营终纲孟钱待尽俄缩沙退陈讨奋械载胞幼哪剥迫旋征槽倒握担仍呀鲜吧卡粗介钻逐弱脚怕盐末阴丰雾冠丙街莱贝辐肠付吉渗瑞惊顿挤秒悬姆烂森糖圣凹陶词迟蚕亿矩康遵牧遭幅园腔订香肉弟屋敏恢忘编印蜂急拿扩伤飞露核缘游振操央伍域甚迅辉异序免纸夜乡久隶缸夹念兰映沟乙吗儒杀汽磷艰晶插埃燃欢铁补咱芽永瓦倾阵碳演威附牙芽永瓦斜灌欧献顺猪洋腐请透司危括脉宜笑若尾束壮暴企菜穗楚汉愈绿拖牛份染既秋遍锻玉夏疗尖殖井费州访吹荣铜沿替滚客召旱悟刺脑措贯藏敢令隙炉壳硫煤迎铸粘探临薄旬善福纵择礼愿伏残雷延烟句纯渐耕跑泽慢栽鲁赤繁境潮横掉锥希池败船假亮谓托伙哲怀割摆贡呈劲财仪沉炼麻罪祖息车穿货销齐鼠抽画饲龙库守筑房歌寒喜哥洗蚀废纳腹乎录镜妇恶脂庄擦险赞钟摇典柄辩竹谷卖乱虚桥奥伯赶垂途额壁网截野遗静谋弄挂课镇妄盛耐援扎虑键归符庆聚绕摩忙舞遇索顾胶羊湖钉仁音迹碎伸灯避泛亡答勇频皇柳哈揭甘诺概宪浓岛袭谁洪谢炮浇斑讯懂灵蛋闭孩释乳巨徒私银伊景坦累匀霉杜乐勒隔弯绩招绍胡呼痛峰零柴簧午跳居尚丁秦稍追梁折耗碱殊岗挖氏刃剧堆赫荷胸衡勤膜篇登驻案刊秧缓凸役剪川雪链渔啦脸户洛孢勃盟买杨宗焦赛旗滤硅炭股坐蒸凝竟陷枪黎救冒暗洞犯筒您宋弧爆谬涂味津臂障褐陆啊健尊豆拔莫抵桑坡缝警挑污冰柬嘴啥饭塑寄赵喊垫丹渡耳刨虎笔稀昆浪萨茶滴浅拥穴覆伦娘吨浸袖珠雌妈紫戏塔锤震岁貌洁剖牢锋疑霸闪埔猛诉刷狠忽灾闹乔唐漏闻沈熔氯荒茎男凡抢像浆旁玻亦忠唱蒙予纷捕锁尤乘乌智淡允叛畜俘摸锈扫毕璃宝芯爷鉴秘净蒋钙肩腾枯抛轨堂拌爸循诱祝励肯酒绳穷塘燥泡袋朗喂铝软渠颗惯贸粪综墙趋彼届墨碍启逆卸航衣孙龄岭骗休借',
            // 中文验证码字符串
            'useImgBg' => false,
            // 使用背景图片
            'fontSize' => 25,
            // 验证码字体大小(px)
            'useCurve' => true,
            // 是否画混淆曲线
            'useNoise' => true,
            // 是否添加杂点
            'imageH'   => 0,
            // 验证码图片高度
            'imageW'   => 0,
            // 验证码图片宽度
            'length'   => 5,
            // 验证码位数
            'fontttf'  => '',
            // 验证码字体,不设置随机获取
            'bg'       => [243, 251, 254],
            // 背景颜色
            'reset'    => true,
            // 验证成功后是否重置
        ];
    
        private $_image = null; // 验证码图片实例
        private $_color = null; // 验证码字体颜色
    
        /**
         * 架构方法 设置参数
         * @access public
         * @param  array $config 配置参数
         */
        public function __construct($config = [])
        {
            $this->config = array_merge($this->config, $config);
        }
    
        /**
         * 使用 $this->name 获取配置
         * @access public
         * @param  string $name 配置名称
         * @return mixed    配置值
         */
        public function __get($name)
        {
            return $this->config[$name];
        }
    
        /**
         * 设置验证码配置
         * @access public
         * @param  string $name  配置名称
         * @param  string $value 配置值
         * @return void
         */
        public function __set($name, $value)
        {
            if (isset($this->config[$name])) {
                $this->config[$name] = $value;
            }
        }
    
        /**
         * 检查配置
         * @access public
         * @param  string $name 配置名称
         * @return bool
         */
        public function __isset($name)
        {
            return isset($this->config[$name]);
        }
    
        /**
         * 验证验证码是否正确
         * @access public
         * @param string $code 用户验证码
         * @param string $id   验证码标识
         * @return bool 用户验证码是否正确
         */
        public function check($code, $id = '')
        {
            $key = $this->authcode($this->seKey) . $id;
            // 验证码不能为空
            $secode = Session::get($key, '');
            if (empty($code) || empty($secode)) {
                return false;
            }
            // session 过期
            if (time() - $secode['verify_time'] > $this->expire) {
                Session::delete($key, '');
                return false;
            }
    
            if ($this->authcode(strtoupper($code)) == $secode['verify_code']) {
                $this->reset && Session::delete($key, '');
                return true;
            }
    
            return false;
        }
    
        /**
         * 输出验证码并把验证码的值保存的session中
         * 验证码保存到session的格式为: array('verify_code' => '验证码值', 'verify_time' => '验证码创建时间');
         * @access public
         * @param string $id 要生成验证码的标识
         * @return \think\Response
         */
        public function entry($id = '')
        {
            // 图片宽(px)
            $this->imageW || $this->imageW = $this->length * $this->fontSize * 1.5 + $this->length * $this->fontSize / 2;
            // 图片高(px)
            $this->imageH || $this->imageH = $this->fontSize * 2.5;
            // 建立一幅 $this->imageW x $this->imageH 的图像
            $this->_image = imagecreate($this->imageW, $this->imageH);
            // 设置背景
            imagecolorallocate($this->_image, $this->bg[0], $this->bg[1], $this->bg[2]);
    
            // 验证码字体随机颜色
            $this->_color = imagecolorallocate($this->_image, mt_rand(1, 150), mt_rand(1, 150), mt_rand(1, 150));
            // 验证码使用随机字体
            $ttfPath = __DIR__ . '/../assets/' . ($this->useZh ? 'zhttfs' : 'ttfs') . '/';
    
            if (empty($this->fontttf)) {
                $dir  = dir($ttfPath);
                $ttfs = [];
                while (false !== ($file = $dir->read())) {
                    if ('.' != $file[0] && substr($file, -4) == '.ttf') {
                        $ttfs[] = $file;
                    }
                }
                $dir->close();
                $this->fontttf = $ttfs[array_rand($ttfs)];
            }
            $this->fontttf = $ttfPath . $this->fontttf;
    
            if ($this->useImgBg) {
                $this->_background();
            }
    
            if ($this->useNoise) {
                // 绘杂点
                $this->_writeNoise();
            }
            if ($this->useCurve) {
                // 绘干扰线
                $this->_writeCurve();
            }
    
            // 绘验证码
            $code   = []; // 验证码
            $codeNX = 0; // 验证码第N个字符的左边距
            if ($this->useZh) {
                // 中文验证码
                for ($i = 0; $i < $this->length; $i++) {
                    $code[$i] = iconv_substr($this->zhSet, floor(mt_rand(0, mb_strlen($this->zhSet, 'utf-8') - 1)), 1, 'utf-8');
                    imagettftext($this->_image, $this->fontSize, mt_rand(-40, 40), $this->fontSize * ($i + 1) * 1.5, $this->fontSize + mt_rand(10, 20), $this->_color, $this->fontttf, $code[$i]);
                }
            } else {
                for ($i = 0; $i < $this->length; $i++) {
                    $code[$i] = $this->codeSet[mt_rand(0, strlen($this->codeSet) - 1)];
                    $codeNX += mt_rand($this->fontSize * 1.2, $this->fontSize * 1.6);
                    imagettftext($this->_image, $this->fontSize, mt_rand(-40, 40), $codeNX, $this->fontSize * 1.6, $this->_color, $this->fontttf, $code[$i]);
                }
            }
    
            // 保存验证码
            $key                   = $this->authcode($this->seKey);
            $code                  = $this->authcode(strtoupper(implode('', $code)));
            $secode                = [];
            $secode['verify_code'] = $code; // 把校验码保存到session
            $secode['verify_time'] = time(); // 验证码创建时间
            Session::set($key . $id, $secode, '');
    
            ob_start();
            // 输出图像
            imagepng($this->_image);
            $content = ob_get_clean();
            imagedestroy($this->_image);
    
            return response($content, 200, ['Content-Length' => strlen($content)])->contentType('image/png');
        }
    
        /**
         * 画一条由两条连在一起构成的随机正弦函数曲线作干扰线(你可以改成更帅的曲线函数)
         *
         *      高中的数学公式咋都忘了涅,写出来
         *        正弦型函数解析式:y=Asin(ωx+φ)+b
         *      各常数值对函数图像的影响:
         *        A:决定峰值(即纵向拉伸压缩的倍数)
         *        b:表示波形在Y轴的位置关系或纵向移动距离(上加下减)
         *        φ:决定波形与X轴位置关系或横向移动距离(左加右减)
         *        ω:决定周期(最小正周期T=2π/∣ω∣)
         *
         */
        private function _writeCurve()
        {
            $px = $py = 0;
    
            // 曲线前部分
            $A = mt_rand(1, $this->imageH / 2); // 振幅
            $b = mt_rand(-$this->imageH / 4, $this->imageH / 4); // Y轴方向偏移量
            $f = mt_rand(-$this->imageH / 4, $this->imageH / 4); // X轴方向偏移量
            $T = mt_rand($this->imageH, $this->imageW * 2); // 周期
            $w = (2 * M_PI) / $T;
    
            $px1 = 0; // 曲线横坐标起始位置
            $px2 = mt_rand($this->imageW / 2, $this->imageW * 0.8); // 曲线横坐标结束位置
    
            for ($px = $px1; $px <= $px2; $px = $px + 1) {
                if (0 != $w) {
                    $py = $A * sin($w * $px + $f) + $b + $this->imageH / 2; // y = Asin(ωx+φ) + b
                    $i  = (int)($this->fontSize / 5);
                    while ($i > 0) {
                        imagesetpixel($this->_image, $px + $i, $py + $i, $this->_color); // 这里(while)循环画像素点比imagettftext和imagestring用字体大小一次画出(不用这while循环)性能要好很多
                        $i--;
                    }
                }
            }
    
            // 曲线后部分
            $A   = mt_rand(1, $this->imageH / 2); // 振幅
            $f   = mt_rand(-$this->imageH / 4, $this->imageH / 4); // X轴方向偏移量
            $T   = mt_rand($this->imageH, $this->imageW * 2); // 周期
            $w   = (2 * M_PI) / $T;
            $b   = $py - $A * sin($w * $px + $f) - $this->imageH / 2;
            $px1 = $px2;
            $px2 = $this->imageW;
    
            for ($px = $px1; $px <= $px2; $px = $px + 1) {
                if (0 != $w) {
                    $py = $A * sin($w * $px + $f) + $b + $this->imageH / 2; // y = Asin(ωx+φ) + b
                    $i  = (int)($this->fontSize / 5);
                    while ($i > 0) {
                        imagesetpixel($this->_image, $px + $i, $py + $i, $this->_color);
                        $i--;
                    }
                }
            }
        }
    
        /**
         * 画杂点
         * 往图片上写不同颜色的字母或数字
         */
        private function _writeNoise()
        {
            $codeSet = '2345678abcdefhijkmnpqrstuvwxyz';
            for ($i = 0; $i < 10; $i++) {
                //杂点颜色
                $noiseColor = imagecolorallocate($this->_image, mt_rand(150, 225), mt_rand(150, 225), mt_rand(150, 225));
                for ($j = 0; $j < 5; $j++) {
                    // 绘杂点
                    imagestring($this->_image, 5, mt_rand(-10, $this->imageW), mt_rand(-10, $this->imageH), $codeSet[mt_rand(0, 29)], $noiseColor);
                }
            }
        }
    
        /**
         * 绘制背景图片
         * 注:如果验证码输出图片比较大,将占用比较多的系统资源
         */
        private function _background()
        {
            $path = dirname(__FILE__) . '/verify/bgs/';
            $dir  = dir($path);
    
            $bgs = [];
            while (false !== ($file = $dir->read())) {
                if ('.' != $file[0] && substr($file, -4) == '.jpg') {
                    $bgs[] = $path . $file;
                }
            }
            $dir->close();
    
            $gb = $bgs[array_rand($bgs)];
    
            list($width, $height) = @getimagesize($gb);
            // Resample
            $bgImage = @imagecreatefromjpeg($gb);
            @imagecopyresampled($this->_image, $bgImage, 0, 0, 0, 0, $this->imageW, $this->imageH, $width, $height);
            @imagedestroy($bgImage);
        }
    
        /* 加密验证码 */
        private function authcode($str)
        {
            $key = substr(md5($this->seKey), 5, 8);
            $str = substr(md5($str), 8, 10);
            return md5($key . $str);
        }
    }
    

    其中代码
    $this->_image = imagecreate($this->imageW, $this->imageH);
    会直接绘制指定宽度和高度的画布。该操作会产生很大的 内存消耗。

    if ($this->useZh) {
                // 中文验证码
                for ($i = 0; $i < $this->length; $i++) {
                    $code[$i] = iconv_substr($this->zhSet, floor(mt_rand(0, mb_strlen($this->zhSet, 'utf-8') - 1)), 1, 'utf-8');
                    imagettftext($this->_image, $this->fontSize, mt_rand(-40, 40), $this->fontSize * ($i + 1) * 1.5, $this->fontSize + mt_rand(10, 20), $this->_color, $this->fontttf, $code[$i]);
                }
            } else {
                for ($i = 0; $i < $this->length; $i++) {
                    $code[$i] = $this->codeSet[mt_rand(0, strlen($this->codeSet) - 1)];
                    $codeNX += mt_rand($this->fontSize * 1.2, $this->fontSize * 1.6);
                    imagettftext($this->_image, $this->fontSize, mt_rand(-40, 40), $codeNX, $this->fontSize * 1.6, $this->_color, $this->fontttf, $code[$i]);
                }
            }
    

    这里会读取字符长度,进行循环处理,如果length非常大,该循环将持续很久。

    因此该内容cms存在验证码发起的资源消耗性漏洞。如果修改参数,恶意发送请求,服务器将短时间内瞬间崩溃。

    漏洞本地复现

    • 下载代码。版本选择:5.0.180901

    • 基于docker构建lnmp环境。


      image.png

    这里我的web端口是81 因为80被其他项目占用。

    image.png

    理论上参数非常大,1个请求可以摧毁一个站点。但是由于php项目通常存在nginx、php-fpm等多个组件,参数过大,php会直接异常,会导致攻击效果降低。因此应该逐步增加参数,让程序正常执行,能产生巨型验证码即可。此时再使用 burp suite 多线程发送相同请求。服务器会立即崩溃。

    危害

    • 轻者系统运行缓慢。
    • 重者站点崩溃。

    由于thinkcmf很多的时候运行在一些建站的主机上,例如阿里云的建站主机,其资源有限。一旦被攻击,则站点关闭。这里我找了一个站点,进行了1次攻击。结果如图

    image.png

    如何修复

    对验证码的参数上线进行检查和限制。
    修复代码

    官方已经对该漏洞进行了修复。请及时更新。

    相关文章

      网友评论

          本文标题:记一次thinkcmf 的验证码漏洞挖掘和复现

          本文链接:https://www.haomeiwen.com/subject/mtqjqqtx.html