PHP弱类型你真的懂了吗?
在一次渗透测试中,由于甲方维护做的比较好,并没有发现什么漏洞,在即将结束的时候,我还是没有大的突破。
于是我又进行了一波仔细的信息搜集,发现系统中存在phpList,顿时,我眼前一亮——我记得以前看到过phplist的相关漏洞。
随即我开始搜索phplist的历史漏洞,经过我的一通操作,最终确定phplist的版本为3.5.0,漏洞为弱类型漏洞,利用弱类型漏洞登录进去,之后就一切顺利了。
由于在客户机器上做的渗透,截图神马的都没有······下面我在本机上搭建了一个环境,对phplist3.5.0弱类型漏洞进行一下复现。
1
复现过程
phpList 3.5.0版本存在的安全漏洞编号是CVE-2020-5847,该漏洞源于程序没有正确处理开头为0e之后全部为数字字符的哈希值。远程攻击者可利用该漏洞绕过管理员账户的身份验证。
首先下载phpList 3.5.0-RC1,然后解压找到这个目录:
将这个目录拷贝到网站目录下,并重命名。
修改
config/config.php配置文件,设置要连接的数据库和账户密码:同时建立phplistdb数据库。访问http://127.0.0.1/phplist/admin/;接下来初始化安装,设置管理员的账号密码:这里的密码要设置成 sha256 后以
0e开头的字符串,如TyNOQHUS。我们再次访问后台,以密码
34250003024812进行登录,其sha256后也是以0e开头。“TyNOQHUS——hash :0e66298694359207596086558843543959518835691168370379069085300385”“34250003024812——hash:0e46289032038065916139621039085883773413820991920706299695051332”登录成功,漏洞验证成功:
下面还是具体分析一下漏洞处的代码。
验证管理员登录的PHP文件为:
“phpListAdminAuthentication.php”
登录时,密码传入其中,经过if判断后,可以看到
$encryptedPass(密码sha256后的值)是使用==来判断和数据库中的值是否一样,即$encryptedPass == $passwordDB。PHP弱类型比较,就会造成
0exxxxx == 0eyyyyy(会把每一个以”0e”开头的哈希值都解释为0),具体代码如下图:2
什么是PHP弱类型
首先先说一下,什么是强类型和弱类型?
语言通常被分为强类型和弱类型两种。强类型指的是强制数据类型的语言,换句话说,一个变量一旦被定义了成某个类型,如果不经过强制类型转换,这个变量就一直是这个类型。
在变量使用之前,必须声明变量的类型和名称,且不经强制转换,不允许两种不同类型的变量互相操作。而弱类型可以随意转换变量的类型。
PHP作为最受欢迎的开源脚本语言,越来越多的应用于Web开发领域。同时PHP属于弱类型语言,即定义变量的时候不用声明它是什么类型。
弱类型确实给程序员书写代码带来了很大的便利,但是在安全领域,特性既漏洞,这些特性在代码里面经常就是漏洞最容易出现的地方。
PHP官方也给出了类型比较表,表格显示了 PHP 类型和比较运算符在松散和严格比较时的作用。
松散比较:
严格比较:
总结一下PHP弱类型产生漏洞的原理:
PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0e”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0e”开头的,那么PHP将会认为他们相同,都是0。当不同类型的变量进行比较的时候就会存在变量转换的问题,在转换之后就有可能会存在弱类型问题。例如需要将GET或者是POST的参数转换为int类型,或者是两个变量不匹配的时候,PHP会自动地进行变量转换。但是PHP是一个弱类型的语言,导致在进行类型转换的时候就会产生弱类型相关的漏洞。
函数转换出错时导致的弱类型问题,例如:strcmp函数参数str1不为预期的String类型时(例如数组,),在PHP 5.3版本之前将返回-1,5.3之后的版本将返回NULL。
通过以上方式可以产生密码重置、绕过管理员账户的身份验证、注入、cookie伪造等弱类型漏洞。一些CTF试题也会利用其弱类型进行设置一些如MD5碰撞、十六进制转换等问题。
下面通过一些漏洞实例来进行说明。
3
CVE-2014-0166(WordPress Cookie伪造)
在wordpress-3.8.2的补丁中有以下代码:
而在wordpress-3.8.1的相对应的PHP代码是这样的:
通过对比我们自然把全部的关注点放到!=与!==上来。
再看php manual中给出的例子:
<?php var_dump(0 == "a"); // 0 == 0 -> true var_dump("1" == "01"); // 1 == 1 -> true var_dump("10" == "1e1"); // 10 == 10 -> true var_dump(100 == "1e2"); // 100 == 100 -> true?>回到wordpress的验证代码上来。先生成根据用户名($username)、密码($pass_frag)、cookie有效期 ($expiration)、wp-config.php中的key($key)四个信息计算出对应的$hash, 然后用cookie中取得的$hmac值与之进行比较($hmac != $hash ),从而验证cookie有效性。
cookie的格式是这样的:
wordpress_hashofurl=username|expiration|hmac我们能控制的变量有$username和$expiration,其中$username需要固定。于是我们可以通过控制cookie中的$expiration去改变$hash的值,然后将cookie中的$hmac设置为0。
只要不断改变$expiration,找到满足$hash=="0"的$hash,就成功伪造了有效的cookie。
4
HDwiki sql注入
在/control/list.php中,代码如下:
$count=$this->db->fetch_total('focus',"type=$doctype");只要这个switch语句不影响$doctype的值,后面就能注入了。
我们看到case 2和case 3的结果都不会改变$doctype的值,但如果进入default是会将$doctype改为1。
这里就犯了一个“弱类型”的错误,当一个字符串和一个数字比较的时候,是会先将字符串强制类型转换后再与数字比较。
所以我传入doctype是2xxxx的时候,实际上是会进入case 2而不是default。出了switch语句后,doctype的值还是2xxxx,而不是2。
所以之后的:
$count=$this->db->fetch_total('focus',"type=$doctype");$doctype带入SQL语句造成注入。
5
CTF中的利用
《MD5碰撞》:
<?php if (isset($_GET['Username']) && isset($_GET['password'])) { $logined = true; $Username = $_GET['Username']; $password = $_GET['password']; if (!ctype_alpha($Username)) {$logined = false;} if (!is_numeric($password) ) {$logined = false;} if (md5($Username) != md5($password)) {$logined = false;} if ($logined){ echo "successful"; }else{ echo "login failed!"; } } ?>这个题目的意思是,输入一个数字和一个字符串,并且让他们的MD5值相同,才可以得到successful。
0e在比较的时候会将其视作为科学计数法,所以无论0e后面是什么,0的多少次方还是0。
所以我们只需要输入一个数字和字符串,进行MD5加密之后都为0e,即可得出答案。
md5('240610708') == md5('QNKCDZO')成功绕过。
《起名字真难》:
<?phpfunction noother_says_correct($number){ $one = ord('1'); $nine = ord('9'); for ($i = 0; $i < strlen($number); $i++) { $digit = ord($number{$i}); if ( ($digit >= $one) && ($digit <= $nine) ) { return false; } } return $number == '54975581388';}$flag='*******';if(noother_says_correct($_GET['key'])) echo $flag;else echo 'access denied';?>题目大致的意思就是,输入一串key,key不可以是数字的形式,但是却要求与数字54975581388相等,才可以拿到flag。
看完题目就知道要求字符串和数字进行比较,所以:
$number == '54975581388';看到这就想到了弱类型,54975581388与之匹配的十六进制的字符串是0xccccccccc。
全不是数字,自然就绕过了,得到flag。
6
结语
下面列举一些以0e开头的字符串的md5的hash值:
s214587387a:
0e848240448830537924465865611904;
s1502113478a:
0e861580163291561247404381396064;
s1091221200a:
0e940624217856561557816327384675;
s1665632922a:
0e731198061491163073197128363787;
s1885207154a:
0e509367213418206700842008763514;
s1836677006a:
0e481036490867661113260034900752;
s1665632922a:
0e731198061491163073197128363787;
s878926199a:
0e545993274517709034328855841020;
QLTHNDT:
0e405967825401955372549139051580;
QNKCDZO:
0e830400451993494058024219903391;
EEIZDOI:
0e782601363539291779881938479162;
TUFEPMC:
0e839407194569345277863905212547;
UTIPEZQ:
0e382098788231234954670291303879;
UYXFLOI:
0e552539585246568817348686838809;
IHKFRNS:
0e256160682445802696926137988570;
240610708:
0e462097431906509019562988736854;
314282422:
0e990995504821699494520356953734;
571579406:
0e972379832854295224118025748221;
903251147:
0e174510503823932942361353209384;
1110242161:
0e435874558488625891324861198103;
1320830526:
0e912095958985483346995414060832;
1586264293:
0e622743671155995737639662718498;
感谢阅读,下次再见!
- END -
往期推荐
长按下方图片即可关注