危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览19379154

HPCMS V9暴管理账号

作为“国内最最流行的CMS解决方案之一”,完全开放源代码的PHPCMS可谓是鼎鼎有名,使用者甚多(据说是超过十万)。不过,其最新版本V9在去年底被暴存在SQL盲注漏洞之后,最近又变本加厉地成为直接被暴管理账号(包括MD5密码)的牺牲品,正面就由危险漫步来带大家一起来品味一下分别使用手工和工具法来得到PHPCMS V9网站管理系统的账号和密码的过程。

一、手工法

先说一下从搜索引擎中找寻有可能存在该漏洞的关键字,那就是“inur1:index.php?m=content+c=rss+catid=10”,Google可搜索到约3000个结果(当然不全是)。我从第七页中找了个测试目标是xx茶叶网。

首先点击首页右上方的“注册”链接,打开PHPCMS V9会员管理中心的注册页面,填入相关的虚假信息之后点击“同意注册协议,提交注册”按钮就会出现“操作成功”的提示。然后就进入会员中心。接着,在浏览器的地址栏中构造并访问,就会看到出错提示,其中最为关键的信息莫过于第一行“My SQL Quer”之后的“hx favorite”了,说明数据库中的admin表前缀名是“hx”。然后继续再构造以下的URL:找得到其中的“hx admin”么(中间稍微靠后一点儿的位置)?也就是将之前暴出的admin表前缀"hx”与“admin”用下划线进行连接,其它的不用变(域名要变的),回车访问,立刻就会暴出管理账号和密码来!其中第一个“MySQL Error”中就有管理账号“lindafu”及密码的MD5加密“03e54b84e7d0

4c15flcb26b700008fa4”信息。

为了说明问题,我用相同的方法又测试了另外一个目标,结果也同样暴出了管理账号“huyuejie”和密码“a2f28e5dffflb98053c59:879fc92ce62”。

二、工具法

如果你嫌手工法需要注册和构造两次URL麻烦的话,我们还有个偷懒的方法,那就是使用工具phpcms exp.exe。利用方法非常简单,直接双击打开运行,然后将搜索到的目标域名粘贴到“验证码”按钮之前的输入框中(仍以第一个目标网站为例);接着输入随之出现的验证码(Cookie会自动填入),点击“注册”按钮,很快工具就会提示“注册成功”。最后点击工具右下角的“读取”按钮,看,管理账号与密码的结果就出来了,与之前使用手工方法得到的完全一致。

但可惜的是,虽然我们得到了这样一些极为敏感的信息却无法进行后台登录,因为我们所暴出的并不是管理账号原始登录密码的MD5加密。据查,PHPCMS V9的加密方式是先将原始密码进行空格的过滤,然后进行一次MD5加密,接着再连接一个随机生成的字符串,并且对这个新字符串加密,此时生成的MD5字符串才是最终的MD5加密密码!相关的加密核心代码如下:

从中我们也可以很清楚地看到是进行了MD5的二次加密,由此所带来的破解难度就是非常令人郁闷的了。危险漫步在网上查了一圈也没找到相关的破解方法,因此撰写此文,意在描述手工暴账号密码的同时奉上相关的利用工具phpcms exp.exe,当然最是希望能有高手提供出PHPCMS V9当前的这个高危级别漏洞的利用方法,能够引出大牛的“如意玉”来,希望能够很快如愿哈,呵呵。


相关推荐