PageAdmin几个设计缺陷导致的安全漏洞及修复 – 网站安全 – 自学php网

可以看到 我们控制了pa_member表where查询中的字段和值，因此我们可以定义字段为login_key,然后暴力枚举值。

这样会有什么样的问题呢？就是我们login_key完全可以预测，可以用上边的那段代码暴力枚举近几天的登录会员和管理（会员管理一个表）的login_key,而1天86400秒，所以难度不大。

下面问题来了，看官一定会问，这个login_key是干啥的，你可以温习下wefgod牛的 WooYun: PageAdmin可绕过验证伪造任意用户身份登录（前台、后台） ，

从wefgod牛的文章当中我们知道pageadmin的权限验证用的是uid和Valicate的，而Valicate以前是用的最后登录时间的md5，现在改为了login_key的md5，也就是登录后未来一天的任意一秒的md5。

现在我们获取了login_key,但是问题又来了，我们不知道他对应的uid是多少，我们可以直接选择有权限验证的页面直接加入login_key,然后枚举uid，登录进去就行了。

问题又来了，我们怎么确定这个用户是不是管理员，我思来想去，也只有观察下管理员在网站的活动了，比如他发表的最后一篇帖子的时间，最后一天留言的时间，去推测login_key的取值空间。

2.伪造任意会员或管理留言

/e/space/spc_fbk_ascx.cs

private void Post_Fbk()

{

string Fbk_Content=Request.Form["fb_content"];

if(Fbk_Content.Trim()=="")

{

conn.Close();

Response.Write("<script type='text/javascript'>alert('留言内容不能为空!');location.href=location.href</script>");

Response.End();

}

else

{

Fbk_Content=ResplayJs(Fbk_Content);

Current_LoginName=Request.Form["Current_LoginName"];//直接获取然后进去数据库

if(IsUserName(Current_LoginName))

{

sql="insert into pa_spcfbk(space_owner,fbk_username,feedback,reply) values('"+UserName+"','"+Sql_Format(Current_LoginName)+"','"+Sql_Format(Fbk_Content)+"','')";

OleDbCommand Comm=new OleDbCommand(sql,conn);

Comm.ExecuteNonQuery();

}

conn.Close();

Response.Write("<script type='text/javascript'>alert('提交成功!');location.href=location.href</script>");

Response.End();

}

}

这个没什么说的，设计缺陷，当前登录名自定义，可以伪造任何人留言，不用登录。

3.删除任意留言

/e/space/spc_fbk_ascx.cs

private void Del_Fbk()

{

string Did=Request.Form["did"];//直接删除

if(IsNum(Did))

{

sql="delete from pa_spcfbk where space_owner='"+UserName+"' and id="+int.Parse(Did);

OleDbCommand Comm=new OleDbCommand(sql,conn);

Comm.ExecuteNonQuery();

conn.Close();

}

conn.Close();

Response.Write("<script type='text/javascript'>location.href=location.href</script>");

Response.End();

}