帝国CMS（全版）验证码可无视！可导致验证码无效（验证码识别都是渣渣）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-075186

漏洞标题：帝国CMS（全版）验证码可无视！可导致验证码无效（验证码识别都是渣渣）

漏洞作者：风情万种

提交时间：2014-09-05 18:48

修复时间：2014-12-04 18:50

公开时间：2014-12-04 18:50

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-09-05：细节已通知厂商并且等待厂商处理中
2014-09-10：厂商已经确认，细节仅向厂商公开
2014-09-13：细节向第三方安全合作伙伴开放
2014-11-04：细节向核心白帽子及相关领域专家公开
2014-11-14：细节向普通白帽子公开
2014-11-24：细节向实习白帽子公开
2014-12-04：细节向公众公开

简要描述：

帝国CMS 验证码可无视！可导致验证码无效（验证码识别都是渣渣）

详细说明：

看帝国获取验证码的代码

//显示验证码
function ShowKey($v){
	$vname=ecmsReturnKeyVarname($v);
	$key=strtolower(domake_password(4));
	ecmsSetShowKey($vname,$key);
 ..................
}

ecmsReturnKeyVarname 是返回保存验证码的cookie的名称
比如本列打开的页面上注册页面的验证码
url 是 http://localhost/empirecms/e/ShowKey/?v=reg
第一步：根据ecmsReturnKeyVarname 返回的是checkregkey

//返回变量名
function ecmsReturnKeyVarname($v){
	if($v=='login')//登陆
	{
		$name='checkloginkey';
	}
	elseif($v=='reg')//注册
	{
		$name='checkregkey';
	}
	elseif($v=='info')//信息
	{
		$name='checkinfokey';
	}
	elseif($v=='spacefb')//空间反馈
	{
		$name='checkspacefbkey';
	}
	elseif($v=='spacegb')//空间留言
	{
		$name='checkspacegbkey';
	}
	elseif($v=='gbook')//留言
	{
		$name='checkgbookkey';
	}
	elseif($v=='feedback')//反馈
	{
		$name='checkfeedbackkey';
	}
	elseif($v=='getpassword')//取回密码
	{
		$name='checkgetpasskey';
	}
	elseif($v=='regsend')//重发激活邮件
	{
		$name='checkregsendkey';
	}
	else//评论pl
	{
		$name='checkplkey';
	}
	return $name;
}

第二步：ecmsSetShowKey函数将cookie保存到cookie中，看这函数好像是做了不少其实是把验证码md5了一下就保存到cookie里面了关键点:$key=$time.','.$checkpass.','.$val;
$val就是验证码的md5

/设置验证码
function ecmsSetShowKey($varname,$val,$ecms=0){
	global $public_r;
	$val=md5($val);
	$time=time();
	$checkpass=md5(md5($val.'EmpireCMS'.$time).$public_r['keyrnd']);
	$key=$time.','.$checkpass.','.$val;
	esetcookie($varname,$key,0,$ecms);
}
//设置COOKIE
function esetcookie($var,$val,$life=0,$ecms=0){
	global $ecms_config;
	$varpre=empty($ecms)?$ecms_config['cks']['ckvarpre']:$ecms_config['cks']['ckadminvarpre'];
	return setcookie($varpre.$var,$val,$life,$ecms_config['cks']['ckpath'],$ecms_config['cks']['ckdomain']);
}

第三步：查看cookie,mlukmcheckregkey=1409913237%2C26b915271f0eccf2eef645af070e7e63%2C8f136277f7544773106f4c06dcdb4bf4;
最后面%2C后面8f136277f7544773106f4c06dcdb4bf4就是验证码的md5 这四位数的验证码在cmd5那是一查一个准啊

漏洞证明：

修复方案：

验证码识别都市渣渣

版权声明：转载请注明来源风情万种@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-09-10 09:13

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-075186

漏洞标题：帝国CMS（全版）验证码可无视！可导致验证码无效（验证码识别都是渣渣）

相关厂商：帝国CMS

漏洞作者：风情万种

提交时间：2014-09-05 18:48

修复时间：2014-12-04 18:50

公开时间：2014-12-04 18:50

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源风情万种@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-075186

漏洞标题：帝国CMS（全版） 验证码可无视！可导致验证码无效（验证码识别都是渣渣）

相关厂商：帝国CMS

漏洞作者： 风情万种

提交时间：2014-09-05 18:48

修复时间：2014-12-04 18:50

公开时间：2014-12-04 18:50

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-075186"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 风情万种@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞标题：帝国CMS（全版）验证码可无视！可导致验证码无效（验证码识别都是渣渣）

漏洞作者：风情万种

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源风情万种@乌云