emlog验证码重用。可无视验证码刷评论,无视验证码暴力破解后台。 详细说明:看了两天emlog源码也没白看。。。 在发表评论的时候,服务端验证数据代码如下: if($Comment_Model-isLogCanComment($blogId) === false) {emMsg(评论失败:该文章已关闭评论);} el
详细说明:看了两天emlog源码也没白看。。。
在发表评论的时候,服务端验证数据代码如下:
if($Comment_Model->isLogCanComment($blogId) === false) {
emMsg('评论失败:该文章已关闭评论');
} elseif ($Comment_Model->isCommentExist($blogId, $name, $content) === true) {
emMsg('评论失败:已存在相同内容评论');
} elseif ($Comment_Model->isCommentTooFast() === true) {
emMsg('评论失败:您提交评论的速度太快了,请稍后再发表评论');
} elseif (empty($name)) {
emMsg('评论失败:请填写姓名');
} elseif (strlen($name) > 20) {
emMsg('评论失败:姓名不符合规范');
} elseif ($mail != '' && !checkMail($mail)) {
emMsg('评论失败:邮件地址不符合规范');
} elseif (ISLOGIN == false && $Comment_Model->isNameAndMailValid($name, $mail) === false) {
emMsg('评论失败:禁止使用管理员昵称或邮箱评论');
} elseif (!empty($url) && preg_match("/^(http|https)\:\/\/[^<>'\"]*$/", $url) == false) {
emMsg('评论失败:主页地址不符合规范','javascript:history.back(-1);');
} elseif (empty($content)) {
emMsg('评论失败:请填写评论内容');
} elseif (strlen($content) > 8000) {
emMsg('评论失败:内容不符合规范');
} elseif (ROLE == 'visitor' && Option::get('comment_needchinese') == 'y' && !preg_match('/[\x{4e00}-\x{9fa5}]/iu', $content)) {
emMsg('评论失败:评论内容需包含中文');
} elseif (ISLOGIN == false && Option::get('comment_code') == 'y' && session_start() && $imgcode != $_SESSION['code']) {
emMsg('评论失败:验证码错误');
} else {
$Comment_Model->addComment($name, $content, $mail, $url, $imgcode, $blogId, $pid);
}
在检查验证码时,发现验证码不对则提示验证码错误,但检查成功后并没有清除SESSION中的验证码信息,下次只要不再访问生成验证码的脚本,该SESSION则一直有效。导致此后验证码可以重用。
在后台登录页面原理相同,均未清除SESSION中的验证码,导致可以暴力破解后台密码。
-------------
利用方法:
第一次手工输入验证码后提交,burpsuite抓包,然后把服务器返回的包丢弃(以免重新打开需要输入验证码的界面,把验证码刷新掉)。
再就暴力提交数据包就OK了。因为验证码没有刷新,SESSION没有更新,所以验证码不用再次输入。
漏洞证明:刷评论:
提交评论时候,由于emlog默认限制15秒发一条,所以在burpsuite中设置一下,每间隔大概16秒提交一次。
等待一段时间后看看效果:
暴力破解后台密码:
修复方案:
检查验证码成功后清除SESSION
检查验证码成功后清除SESSION