BANKA2017
commented
10 months ago 这严重吗?
云签作为古老的软件,现在还有多少活跃用户我不清楚。爆破不需要知道邮箱或账号名这两个登录凭据中的任意一个,而是使用自增的 uid,并且通过一般 log 都不会记录的 cookie 进行,所以我不清楚是否严重,也许有心人已经干了很久了——反正也没有记录
有的云签站可能开了登录注册页验证码,但这个漏洞本就无需经过登录所以也可以绕过
一旦爆破成功,即可拿到目标账号名下所有的明文 bduss 和 stoken
如果攻击目标是管理员:
- 还可以云签的导出数据库功能获取所有用户的明文
bduss/stoken/邮箱及密码hash等信息 - 以及通过上传插件的方式上传 webshell 进而拿下服务器(根据实际环境php.ini配置也可能不行)
该怎么办?
- 最新版本
5.01已经修复了这个漏洞,直接更新并:- 务必将 PHP 版本升级到
5.5.0或以上以支持password_hash() - 安装修改密码插件并引导用户进行一次密码修改,否则是治标不治本
- 务必将 PHP 版本升级到
- 如果有各种原因无法更新到最新版本,请自行在
/lib/globals.php找到四个substr(sha1(EncodePwd($p['pw'])), 4, 32)(此处$p可能会是$con_p)并自行加盐(比如加上$p['id'])使不同帐号之间的hash不一样(没上面“安全”,但肯定比什么都不做好点)
一些回应
攻破本软件的用户几乎不会有任何收益,没有任何使用复杂散列算法的必要,能防止撞彩虹表就已经可以了
总之,社区是无法强制要求所有站点都更新的,并且可能永远都不会有人去利用这个费时费力的低收益漏洞
n0099
问题描述
云签使用
uid和pwd作为cookie的两部分用来鉴权,由于计算pwd时没有加盐,所以相同密码的用户的pwd是一致的,这就导致相同密码的用户只需要简单修改cookie的uid部分即可开始尝试爆破。只要密码相同,不论是什么用户类型都可以互相访问https://github.com/MoeNetwork/Tieba-Cloud-Sign/blob/993247e0b3e2a86582549553d437b548ae3103a1/lib/globals.php#L143-L156
复现步骤
a好了,此时我们可以看到tc_users中相应用户的pw的值为54f74fbfb94518a527a36474dc904c25,uid值为1cookie的pwd为94f3e461f1f245f377893d39955685a3b,密码还是设为a,这时除了cookie的uid为2以外其他部分是一样的uid的值改为1即可登录管理员的a帐号环境