剑三仓库密码忘记了了除了强制解绑还有其他找回方式吗
点击联系发帖人
时间:2017-03-30 12:19
查看: 1140|回复: 2
商城密码忘记了 ,其他的也没设置 怎么找回呀
威望帖子积分
小学五年级, 积分 537, 距离下一级还需 63 积分
小学五年级, 积分 537, 距离下一级还需 63 积分
几年前玩的游戏 ,后来有段时间没玩&&把商城密码忘记了&&怎么办& &其他的密保也没设置& &咋办
威望帖子积分
大学一年级, 积分 8447, 距离下一级还需 6553 积分
大学一年级, 积分 8447, 距离下一级还需 6553 积分
没办法了&&你就别在商场充值mb买东西
你可以直接去淘宝买&&不然我建议你还是换一个号
不然改名什么的都不能
威望帖子积分
您好,久游密码找回方式如下:
1、请您登陆页面: 通过久游账户中心自助方式(绑定手机、密保邮箱、密保问题、绑定手机微信)进行久游密码找回的操作。
2、若您选择“密保邮箱重置密码”在输入您的账号及密保邮箱后,系统会给您的密保邮箱发送1封信件,点击链接后可直接填写久游密码;该重置链接超过24小时将会失效,若您未点击该链接修改密码,则原久游密码不会被修改。
3、如果不能找回,您可以登陆页面: 通过账号申诉通道重置久游密码、密保信息、解绑手机及久游安全令(每个账号每6个月只能成功申诉1次)
4、若您无法通过自助和申诉方式进行找回,但您记得注册时身份证信息(有效),并能提供照片的话,您也可以通过传真方式找回久游密码及重置密保信息。
传真服务请登陆: 进行查看(方式一:移动设备电子传真,详见&&方式二:电子传真,详见)
5、如您无法通过以上方式进行找回,那么您只有通过上门服务方式有机会进行办理,上门服务介绍:
6、如您确认需要上门的话,请您在上门之前拨打客服热线详细咨询并预约核实,具体联系方式请见: 感谢您对我们游戏的支持!
随心秀达人
随心秀达人
久游网游乐会会员
Powered by天龙八部2仓库密码忘了。除了强制解除 还有没有别的办法?_百度知道
天龙八部2仓库密码忘了。除了强制解除 还有没有别的办法?
我有更好的答案
就可以啦~~我以前也忘记了。就是要登录游戏后打个电话去验证下,仓库就能用了,就绑定手机就可以解锁了绑定手机
从哪绑定!
采纳率:16%
为您推荐:
其他类似问题
您可能关注的内容
天龙八部2的相关知识
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。密码找回功能缺陷4 years ago67收藏分享举报文章被以下专栏收录像一朵乌云一样成长{&debug&:false,&apiRoot&:&&,&paySDK&:&https:\u002F\u002Fpay.zhihu.com\u002Fapi\u002Fjs&,&wechatConfigAPI&:&\u002Fapi\u002Fwechat\u002Fjssdkconfig&,&name&:&production&,&instance&:&column&,&tokens&:{&X-XSRF-TOKEN&:null,&X-UDID&:null,&Authorization&:&oauth c3cef7c66aa9e6a1e3160e20&}}{&database&:{&Post&:{&&:{&isPending&:false,&contributes&:[{&sourceColumn&:{&lastUpdated&:,&description&:&像一朵乌云一样成长&,&permission&:&COLUMN_PRIVATE&,&memberId&:94163,&contributePermission&:&COLUMN_PUBLIC&,&translatedCommentPermission&:&all&,&canManage&:true,&intro&:&像一朵乌云一样成长&,&urlToken&:&drops&,&id&:2810,&imagePath&:&0be2d7fb9&,&slug&:&drops&,&applyReason&:&&,&name&:&乌云知识库&,&title&:&乌云知识库&,&url&:&https:\u002F\u002Fzhuanlan.zhihu.com\u002Fdrops&,&commentPermission&:&COLUMN_ALL_CAN_COMMENT&,&canPost&:true,&created&:,&state&:&COLUMN_NORMAL&,&followers&:11307,&avatar&:{&id&:&0be2d7fb9&,&template&:&https:\u002F\u002Fpic2.zhimg.com\u002F{id}_{size}.jpg&},&activateAuthorRequested&:false,&following&:false,&imageUrl&:&https:\u002F\u002Fpic2.zhimg.com\u002F0be2d7fb9_l.jpg&,&articlesCount&:25},&state&:&accepted&,&targetPost&:{&titleImage&:&https:\u002F\u002Fpic4.zhimg.com\u002F19b303b78ef73c653f55b83dd35eaa05_r.jpg&,&lastUpdated&:,&imagePath&:&19b303b78ef73c653f55b83dd35eaa05&,&permission&:&ARTICLE_PUBLIC&,&topics&:[],&summary&:&\u003Cb\u003E0x00 背景介绍\u003C\u002Fb\u003E有人的地方就有江湖。 互联网中,有用户注册的地方,基本就会有密码找回的功能。而密码找回功能里可能存在的漏洞,很多程序员都没有想到。而这些漏洞往往可能产生非常大的危害,如用户账号被盗等。并且这种漏洞在非常多的大互联网公司中都出现…&,©Permission&:&ARTICLE_COPYABLE&,&translatedCommentPermission&:&all&,&likes&:0,&origAuthorId&:94163,&publishedTime&:&T11:18:59+08:00&,&sourceUrl&:&&,&urlToken&:,&id&:36196,&withContent&:false,&slug&:,&bigTitleImage&:false,&title&:&密码找回功能缺陷&,&url&:&\u002Fp\u002F&,&commentPermission&:&ARTICLE_ALL_CAN_COMMENT&,&snapshotUrl&:&&,&created&:,&comments&:0,&columnId&:2810,&content&:&&,&parentId&:0,&state&:&ARTICLE_PUBLISHED&,&imageUrl&:&https:\u002F\u002Fpic4.zhimg.com\u002F19b303b78ef73c653f55b83dd35eaa05_r.jpg&,&author&:{&bio&:&&,&isFollowing&:false,&hash&:&fd507d1b83d&,&uid&:52,&isOrg&:false,&slug&:&secdragon&,&isFollowed&:false,&description&:&&,&name&:&瞌睡龙&,&profileUrl&:&https:\u002F\u002Fwww.zhihu.com\u002Fpeople\u002Fsecdragon&,&avatar&:{&id&:&da8e974dc&,&template&:&https:\u002F\u002Fpic4.zhimg.com\u002F{id}_{size}.jpg&},&isOrgWhiteList&:false,&isBanned&:false},&memberId&:94163,&excerptTitle&:&&,&voteType&:&ARTICLE_VOTE_CLEAR&},&id&:235665}],&title&:&密码找回功能缺陷&,&author&:&secdragon&,&content&:&\u003Ch2\u003E\u003Cb\u003E0x00 背景介绍\u003C\u002Fb\u003E\u003C\u002Fh2\u003E\u003Cp\u003E有人的地方就有江湖。\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E互联网中,有用户注册的地方,基本就会有密码找回的功能。\u003C\u002Fp\u003E\u003Cp\u003E而密码找回功能里可能存在的漏洞,很多程序员都没有想到。\u003C\u002Fp\u003E\u003Cp\u003E而这些漏洞往往可能产生非常大的危害,如用户账号被盗等。\u003C\u002Fp\u003E\u003Cp\u003E并且这种漏洞在非常多的大互联网公司中都出现过。\u003C\u002Fp\u003E\u003Ch2\u003E\u003Cb\u003E0x01 检测方式及案例\u003C\u002Fb\u003E\u003C\u002Fh2\u003E\u003Cp\u003E共总结出以下7点。\u003C\u002Fp\u003E\u003Cp\u003E程序员在做这部分功能的时候注意其逻辑缺陷,安全人员也可以多测试一下其中的逻辑问题。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E1、密码找回的凭证太弱,如只需要填入一个四位或者六位的纯数字就可以重置密码,导致可以暴力破解。\u003C\u002Fb\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E案例:\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&http:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: 当当网任意用户密码修改漏洞\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E还有一个做了限制但是被绕过的经典案例:\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&http:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: 微信任意用户密码修改漏洞\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E限制了提交次数,但是存在逻辑问题,可以绕过,具体可以点击去看下。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E2、密码找回凭证可从客户端直接获取。\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E密码找回凭证在客户端获取,在密码找回时注意抓包查看所有url返回响应等,看是否有最终的凭证出现,这样就可以绕过手机或者安全邮箱了。\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&http:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: 走秀网秀团任意密码修改缺陷\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E3、密码找回凭证在页面中可以直接获取。\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E一个经典案例,找回密码的答案在网页的源代码中……\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&http:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: sohu邮箱任意用户密码重置\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E4、密码找回凭证可以比较容易的猜出。\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E找回密码的关键凭证仅仅是时间戳的md5,被白帽子犀利的察觉到~,轻松找回任意账户密码。\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&http:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: 奇虎360任意用户密码修改漏洞\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E5、密码找回凭证存并非只是与单个用户并绑定的问题。\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E找回密码凭证发到邮箱中,url中包含用户信息以及凭证,但是这个凭证可以重置任何用户。\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&http:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: 身份通任意密码修改-泄漏大量公民信息\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E6、用户找回密码的邮箱地址或者手机号码被修改。\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E这个其实应该是绑定安全手机的逻辑问题,导致可以使任意用户帮上自己可控的安全手机,然后就可以重置任意人的手机号码了。\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&http:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: 网易邮箱可直接修改其他用户密码\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E7、在最后提交修改的密码处的逻辑错误。\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E前面所有的逻辑都没有问题,那么是不是就没有问题了呢?\u003C\u002Fp\u003E\u003Cp\u003E还有白帽子发现,在最后重置密码处跟随一个用户ID,改成其它用户的ID,即可把其它用户改成你刚刚修改的密码。\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&http:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: 携程旅行网任意老板密码修改(庆在wooyun第100洞)\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Ch2\u003E\u003Cb\u003E0x02 修复方案\u003C\u002Fb\u003E\u003C\u002Fh2\u003E\u003Cp\u003E找回密码凭证够复杂并且不可猜测,同时注意以上逻辑问题,不可存在越权,或者重要的凭证在不该出现的地方出现。\u003C\u002Fp\u003E&,&updated&:new Date(&T03:18:59.000Z&),&canComment&:false,&commentPermission&:&anyone&,&commentCount&:2,&collapsedCount&:0,&likeCount&:67,&state&:&published&,&isLiked&:false,&slug&:&&,&isTitleImageFullScreen&:false,&rating&:&none&,&titleImage&:&https:\u002F\u002Fpic4.zhimg.com\u002F19b303b78ef73c653f55b83dd35eaa05_r.jpg&,&links&:{&comments&:&\u002Fapi\u002Fposts\u002F2Fcomments&},&reviewers&:[],&topics&:[],&adminClosedComment&:false,&titleImageSize&:{&width&:600,&height&:600},&href&:&\u002Fapi\u002Fposts\u002F&,&excerptTitle&:&&,&column&:{&slug&:&drops&,&name&:&乌云知识库&},&tipjarState&:&inactivated&,&annotationAction&:[],&sourceUrl&:&&,&pageCommentsCount&:2,&hasPublishingDraft&:false,&snapshotUrl&:&&,&publishedTime&:&T11:18:59+08:00&,&url&:&\u002Fp\u002F&,&lastestLikers&:[{&bio&:&渗透测试&,&isFollowing&:false,&hash&:&9cc0dfffac&,&uid&:464000,&isOrg&:false,&slug&:&shuang-sheng-zhu-22&,&isFollowed&:false,&description&:&&,&name&:&双笙丶&,&profileUrl&:&https:\u002F\u002Fwww.zhihu.com\u002Fpeople\u002Fshuang-sheng-zhu-22&,&avatar&:{&id&:&v2-1f8f9d5cea5b9f9a24ecfc5b&,&template&:&https:\u002F\u002Fpic1.zhimg.com\u002F{id}_{size}.jpg&},&isOrgWhiteList&:false,&isBanned&:false},{&bio&:&CISSP,CISA,CIA,网络工程师,四大IT咨询&,&isFollowing&:false,&hash&:&a822aeac2bd&,&uid&:237800,&isOrg&:false,&slug&:&long-quan-69-57&,&isFollowed&:false,&description&:&半吊子信息安全爱好者&,&name&:&龙泉&,&profileUrl&:&https:\u002F\u002Fwww.zhihu.com\u002Fpeople\u002Flong-quan-69-57&,&avatar&:{&id&:&v2-24db06f2acc9e884cdebca1e&,&template&:&https:\u002F\u002Fpic4.zhimg.com\u002F{id}_{size}.jpg&},&isOrgWhiteList&:false,&isBanned&:false},{&bio&:&信息安全从业&,&isFollowing&:false,&hash&:&3b4acd6a2f071033bdef&,&uid&:586400,&isOrg&:false,&slug&:&xie-jia-28-82&,&isFollowed&:false,&description&:&&,&name&:&叶佳&,&profileUrl&:&https:\u002F\u002Fwww.zhihu.com\u002Fpeople\u002Fxie-jia-28-82&,&avatar&:{&id&:&v2-cc36fde58ed3b53f900db9&,&template&:&https:\u002F\u002Fpic3.zhimg.com\u002F{id}_{size}.jpg&},&isOrgWhiteList&:false,&isBanned&:false},{&bio&:&菜鸟程序员&,&isFollowing&:false,&hash&:&230a6d7c976e98f57e93&,&uid&:317900,&isOrg&:false,&slug&:&justwkj&,&isFollowed&:false,&description&:&御剑乘风来,除魔天地间&,&name&:&莫一兮&,&profileUrl&:&https:\u002F\u002Fwww.zhihu.com\u002Fpeople\u002Fjustwkj&,&avatar&:{&id&:&cd20b448e8c8a96cecbdfc&,&template&:&https:\u002F\u002Fpic3.zhimg.com\u002F{id}_{size}.jpg&},&isOrgWhiteList&:false,&isBanned&:false},{&bio&:&Geek \u002F 系统架构 \u002F 电影&,&isFollowing&:false,&hash&:&bcfc05d858d565b3a3d4d&,&uid&:08,&isOrg&:false,&slug&:&shenglong&,&isFollowed&:false,&description&:&&,&name&:&Shane.XIAO&,&profileUrl&:&https:\u002F\u002Fwww.zhihu.com\u002Fpeople\u002Fshenglong&,&avatar&:{&id&:&9f4fbf7ae&,&template&:&https:\u002F\u002Fpic1.zhimg.com\u002F{id}_{size}.jpg&},&isOrgWhiteList&:false,&isBanned&:false}],&summary&:&\u003Cb\u003E0x00 背景介绍\u003C\u002Fb\u003E有人的地方就有江湖。 互联网中,有用户注册的地方,基本就会有密码找回的功能。而密码找回功能里可能存在的漏洞,很多程序员都没有想到。而这些漏洞往往可能产生非常大的危害,如用户账号被盗等。并且这种漏洞在非常多的大互联网公司中都出现…&,&reviewingCommentsCount&:0,&meta&:{&previous&:null,&next&:{&isTitleImageFullScreen&:false,&rating&:&none&,&titleImage&:&https:\u002F\u002Fpic1.zhimg.com\u002F50\u002F1baaee73a6ab3fe98fd5ee_xl.jpg&,&links&:{&comments&:&\u002Fapi\u002Fposts\u002F2Fcomments&},&topics&:[],&adminClosedComment&:false,&href&:&\u002Fapi\u002Fposts\u002F&,&excerptTitle&:&&,&author&:{&bio&:&&,&isFollowing&:false,&hash&:&fd507d1b83d&,&uid&:52,&isOrg&:false,&slug&:&secdragon&,&isFollowed&:false,&description&:&&,&name&:&瞌睡龙&,&profileUrl&:&https:\u002F\u002Fwww.zhihu.com\u002Fpeople\u002Fsecdragon&,&avatar&:{&id&:&da8e974dc&,&template&:&https:\u002F\u002Fpic4.zhimg.com\u002F{id}_{size}.jpg&},&isOrgWhiteList&:false,&isBanned&:false},&column&:{&slug&:&drops&,&name&:&乌云知识库&},&content&:&\u003Cp\u003E最近研究PHP漏洞的挖掘,总结了一些我挖到的漏洞,整理了一下思路,求各路神人补充、批评、指导~\u003C\u002Fp\u003E\u003Cp\u003E本文所有示例均来自我在乌云上已由厂商允许公开的漏洞\u003C\u002Fp\u003E\u003Cp\u003E由于是实例的分析,基础知识请百度,就不全都粘贴到前面了\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E0x01:
搜索所有的用户可控变量(GET\u002FPOST\u002FCOOKIE\u002Freferer)\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E原因:所有用户输入都是有害的,代码审计注重函数和变量,先看看在什么地方会有输入\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E可能出现的场景:\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ea) id=$_GET['id'];\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E可能存在的问题:\u003C\u002Fp\u003E\u003Cp\u003E无过滤的SQL注入:\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: chshcms 程氏CMS V3.0 注射(已在官方演示站测试)\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cdiv class=\&highlight\&\u003E\u003Cpre\u003E\u003Ccode class=\&language-php\&\u003E\u003Cspan\u003E\u003C\u002Fspan\u003E\u003Cspan class=\&x\&\u003E$id=trim($_GET[\&id\&]);\u003C\u002Fspan\u003E\n\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E\u002F\u002F下面直接就进查询语句了\u003C\u002Fp\u003E\u003Cp\u003E1\u003C\u002Fp\u003E\u003Cdiv class=\&highlight\&\u003E\u003Cpre\u003E\u003Ccode class=\&language-text\&\u003E\u003Cspan\u003E\u003C\u002Fspan\u003Eif($db-&query(\&update \&.Getdbname('dance').\& set CS_TID=\&.$tid.\& where cs_user='\&.$cscms_name.\&' and\n\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E当然,这是GET之后没做过滤的情景\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Eb) id=intval($_GET['id']);\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E可能存在的问题:intval对字符型无用,字符型变量是怎么处理的呢?\u003C\u002Fp\u003E\u003Cp\u003E如果字符型的addslashes,注意数字型盲注(见c2分析)\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ec) $tid=XX_Request(\&tid\&);\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E使用自己定义的安全过滤函数处理变量,很常见,很多框架都提供了解决方案,不过自己包装一个也是很常见的\u003C\u002Fp\u003E\u003Cp\u003E可能存在的问题:\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ec1) 有没有忘记使用这个处理函数?\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: chshcms 程氏CMS V3.0 注射(已在官方演示站测试)\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cdiv class=\&highlight\&\u003E\u003Cpre\u003E\u003Ccode class=\&language-text\&\u003E\u003Cspan\u003E\u003C\u002Fspan\u003E$tid=CS_Request(\&tid\&); \u002F\u002F使用安全的CS_request addslash
\n$id=trim($_GET[\&id\&]);
\u002F\u002F呵呵呵,曲项向天歌,CS_Request哭了 \n\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E其实还是上面那个例子,自己忘了用这函数过滤了\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ec2) 函数本身是否安全?\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: (新)程氏舞曲CMS 三步GETSHELL(实例演示+源码详析)\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cdiv class=\&highlight\&\u003E\u003Cpre\u003E\u003Ccode class=\&language-text\&\u003E\u003Cspan\u003E\u003C\u002Fspan\u003E$t_Val = $magic?trim($_GET[$pi_strName]):addslashes(trim($_GET[$pi_strName])); \n\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E使用了addslashes,这就意味着逃脱单引号难度加大,需要寻找没有单引号保护的语句注入\u003C\u002Fp\u003E\u003Cp\u003Eaddslashes只处理单引号和斜杠,因此无法过滤形如 134 and 1=1 这样的注射语句,请自行百度无单引号盲注\u003C\u002Fp\u003E\u003Cp\u003E在下面的语句中,$cscms_name就是有单引号保护的,而$id是没有单引号保护的\u003C\u002Fp\u003E\u003Cdiv class=\&highlight\&\u003E\u003Cpre\u003E\u003Ccode class=\&language-text\&\u003E\u003Cspan\u003E\u003C\u002Fspan\u003E$db-&query(\&update \&.Getdbname('xiaoxi').\& set CS_DID=1 where CS_ID=\&.$id.\& and cs_usera='\&.$cscms_name.\&'\&); \n\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E所以id引发了盲注\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ec3) 过滤函数能否满足业务逻辑的特殊需求?\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E负数订单啦,自己修改自己的投票数啦,各种业务逻辑上的问题都有可能发生\u003C\u002Fp\u003E\u003Cp\u003E非常可惜,这个我还没撞见过,如果以后撞见再更新到文章里\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ed) 不要忘记我们能控制referer等变量\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E可能存在的问题:\u003C\u002Fp\u003E\u003Cp\u003E虽然发现GET\u002FPOST都过滤处理了,但是referer和cookie容易被忽视\u003C\u002Fp\u003E\u003Cp\u003E$_SERVER[\&HTTP_REFERER\&] 例子:\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: MacCMS 6.x referer处理不当引发注射\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E很遗憾,这个截至今日还未公开,等公开了大家再去看吧\u003C\u002Fp\u003E\u003Cp\u003E$_COOKIE['xxx'] 例子:\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: TCCMS全版本COOKIE注入(已演示证明)\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cdiv class=\&highlight\&\u003E\u003Cpre\u003E\u003Ccode class=\&language-text\&\u003E\u003Cspan\u003E\u003C\u002Fspan\u003E$sql=\&select password from \&.$_Obj-&table.\& where id=\&.$_COOKIE['userId'];\n\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E情况和GET时是一样的,不过注入时操作起来稍微麻烦些,SQLMAP教程我就不粘贴到这里了,不会COOKIE注射的请百度\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ee) 还有其他的输入变量,请各路高手带着实例补充!\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E目前,我们了解了程序总体上是如何处理用户输入的\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E0x02:单独搜索$_COOKIE,分析身份认证时的逻辑\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E原因:身份验证属于业务逻辑中“高危”的部分,大部分的高危漏洞都出在这里\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E可能出现的场景:\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ea) 没有cookie处理,直接全是session\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E那就等之后通读代码时直接去读认证算法好啦\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Eb) 认证算法中强度太弱(用可控的COOKIE算来算去),降低了伪造身份的难度\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: (新)程氏舞曲CMS 三步GETSHELL(实例演示+源码详析)\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E第二步伪造身份时\u003C\u002Fp\u003E\u003Cdiv class=\&highlight\&\u003E\u003Cpre\u003E\u003Ccode class=\&language-text\&\u003E\u003Cspan\u003E\u003C\u002Fspan\u003Eelseif($_COOKIE['CS_Login']!=md5($_COOKIE['CS_AdminID'].$_COOKIE['CS_AdminUserName'].$_COOKIE['CS_AdminPassWord'].$_COOKIE['CS_Quanx'])){ \n\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E有什么意义呢?COOKIE我们能控制,当然之后程序有别的验证,这里只是举例,就这一句而言没有意义\u003C\u002Fp\u003E\u003Cp\u003E实际上漏洞里这个CMS这个算法,后面只是在认证时没有用到安装时admin写死在config里的验证码而已,不过难度已经降下来了\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ec) 直接能绕过\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E如果情况b 没有其他验证了,那就绕过了\u003C\u002Fp\u003E\u003Cp\u003E目前我们只是验证了登陆时的逻辑,之后还需分析权限的缜密程度\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E0x03:搜索所有的文件操作函数,分析其逻辑\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E原因:文件操作函数属于敏感函数,往往业务逻辑上的漏洞可能导致任意文件操作\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E可能出现的场景:\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ea) 任意文件下载\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: appcms 最新版 1.3.708 任意文件下载\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cdiv class=\&highlight\&\u003E\u003Cpre\u003E\u003Ccode class=\&language-text\&\u003E\u003Cspan\u003E\u003C\u002Fspan\u003E&?php
\nif(isset($_GET['url']) && trim($_GET['url']) != '' && isset($_GET['type'])) {
$img_url = base64_decode($_GET['url']);
$shffix = trim($_GET['type']);
\nheader(\&Content-Type: image\u002F{$shffix}\&);
\nreadfile($img_url);\n} else {\ndie('image not find');
\n} \n?&\n\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003C\u002Fdiv\u003E\u003Cp\u003EPS:由于是业务逻辑上的问题,是没办法通过自动扫描发现的,而且针对SQL和HTML的过滤是起不到特大作用的\u003C\u002Fp\u003E\u003Cp\u003E任意文件读取的最大作用是读config.php 和各种系统的敏感文件(如何爆物理目录?请看0x04)\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Eb) 任意文件写入\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: CSCMS V3.5 最新版 后台命令执行GETSHELL(源码详析)\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E发帖时仍未公开,所以先不做分析,等公开后更新~\u003C\u002Fp\u003E\u003Cp\u003E任意文件写入的最大应用就是写马了,最大障碍是绕过过滤的HTML字符比如: &&,解决方式是大量应用base64\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ec) 任意文件删除\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E很遗憾,还没撞见过,要是撞见一个该多好\u003C\u002Fp\u003E\u003Cp\u003E任意文件删除的作用可以是删除install.lock,然后重装CMS\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ed) 其他操作,求补充\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E文件操作可以结合爆目录\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E0x04:爆物理目录\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E原因:上一小节我们可能能够任意操作文件,但没拿到网站的物理目录地址,的确可以用黑盒不停地试图读取 c:\\boot.ini 和 \u002Fetc\u002Fpasswd 之类的来试图判断,但是这么弄实在不可靠\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E怎么办:使用php vulnerability hunter 自动扫描就好了,这个确实可以偷懒用工具扫描,因为这个爆目录危害实在太低了,必须配合其他漏洞才有危害,所以一般CMS都会有这种漏洞,我是说能扫描出来的漏洞\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: appcms 最新版 1.3.708 任意文件下载\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E如果你不知道物理路径,你可以试着用工具扫描一下,然后再读取\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E0x05:搜索eval,preg_replace什么的,看看有没有命令执行\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E原因:能直接执行PHP代码,也就是说可以写一句话木马了(file_put_contents),当然,要找可写目录\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E这地方我一直没能找到例子,没有亲自实践过,求各路高手带实例提供几个?\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E0x06:可以开始通读代码了,从index开始,注意的是数据的传输和输出函数\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E原因:常见模式化的漏洞都不存在的话,就要分析整个系统了,因此需要完全而彻底地去做审计,这样比继续单独搜索变量然后跟踪更加省力一些\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E可能出现的场景:\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ea) 之前的过滤全白费了\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: YXcms1.2.0版本 存储式XSS(实站演示+源码分析)\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E没公开,等公开再更新文章,这是一个存储式xss\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Eb) 二次注入\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E由于二次开发中从数据库里取出的值没有过滤,导致注射,由于没有直接从用户输入中获得,所以之前步骤很难发现\u003C\u002Fp\u003E\u003Cp\u003E哎呀,求各路高手提供个示例呀,我这个自己也没有碰到过丫\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ec) 平行权限、任意投票、越权访问 等等 等等 一大堆\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E0x07 总结\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E目前我就知道这么些,希望能对刚接触PHP代码审计漏洞挖掘的新手有点帮助,由于我也是刚开始学习PHP漏洞挖掘不久,希望大家能广泛提供学习的建议以及思路,也请批评指正文章中不妥之处,更希望高手们能带着示例来指导。\u003C\u002Fp\u003E&,&state&:&published&,&sourceUrl&:&&,&pageCommentsCount&:0,&canComment&:false,&snapshotUrl&:&&,&slug&:,&publishedTime&:&T13:05:32+08:00&,&url&:&\u002Fp\u002F&,&title&:&PHP漏洞挖掘思路+实例&,&summary&:&最近研究PHP漏洞的挖掘,总结了一些我挖到的漏洞,整理了一下思路,求各路神人补充、批评、指导~本文所有示例均来自我在乌云上已由厂商允许公开的漏洞由于是实例的分析,基础知识请百度,就不全都粘贴到前面了\u003Cb\u003E0x01: 搜索所有的用户可控变量(GET\u002FPOST\u002FCOOKI…\u003C\u002Fb\u003E&,&reviewingCommentsCount&:0,&meta&:{&previous&:null,&next&:null},&commentPermission&:&anyone&,&commentsCount&:0,&likesCount&:37}},&annotationDetail&:null,&commentsCount&:2,&likesCount&:67,&FULLINFO&:true}},&User&:{&secdragon&:{&isFollowed&:false,&name&:&瞌睡龙&,&headline&:&&,&avatarUrl&:&https:\u002F\u002Fpic4.zhimg.com\u002Fda8e974dc_s.jpg&,&isFollowing&:false,&type&:&people&,&slug&:&secdragon&,&bio&:&&,&hash&:&fd507d1b83d&,&uid&:52,&isOrg&:false,&description&:&&,&badge&:{&identity&:null,&bestAnswerer&:null},&profileUrl&:&https:\u002F\u002Fwww.zhihu.com\u002Fpeople\u002Fsecdragon&,&avatar&:{&id&:&da8e974dc&,&template&:&https:\u002F\u002Fpic4.zhimg.com\u002F{id}_{size}.jpg&},&isOrgWhiteList&:false,&isBanned&:false}},&Comment&:{},&favlists&:{}},&me&:{},&global&:{&experimentFeatures&:{&ge3&:&ge3_9&,&ge2&:&ge2_1&,&androidPassThroughPush&:&all&,&sEI&:&c&,&nwebQAGrowth&:&experiment&,&qawebRelatedReadingsContentControl&:&close&,&liveStore&:&ls_a2_b2_c1_f2&,&qawebThumbnailAbtest&:&new&,&nwebSearch&:&nweb_search_heifetz&,&rt&:&y&,&showVideoUploadAttention&:&true&,&isOffice&:&false&,&enableTtsPlay&:&post&,&newQuestionDiversion&:&https:\u002F\u002Fzhuanlan.zhihu.com\u002Fp\u002F&,&newLiveFeedMediacard&:&new&,&newMobileAppHeader&:&true&,&hybridZhmoreVideo&:&yes&,&nwebGrowthPeople&:&default&,&nwebSearchSuggest&:&default&,&qrcodeLogin&:&qrcode&,&enableVoteDownReasonMenu&:&enable&,&isf8&:&0&,&isShowUnicomFreeEntry&:&unicom_free_entry_off&,&newMobileColumnAppheader&:&new_header&,&androidDbRecommendAction&:&open&,&zcmLighting&:&zcm&,&androidDbFeedHashTagStyle&:&button&,&appStoreRateDialog&:&close&,&default&:&None&,&isNewNotiPanel&:&no&,&wechatShareModal&:&wechat_share_modal_show&,&growthBanner&:&default&,&androidProfilePanel&:&panel_b&}},&columns&:{&next&:{},&drops&:{&following&:false,&canManage&:false,&href&:&\u002Fapi\u002Fcolumns\u002Fdrops&,&name&:&乌云知识库&,&creator&:{&slug&:&secdragon&},&url&:&\u002Fdrops&,&slug&:&drops&,&avatar&:{&id&:&0be2d7fb9&,&template&:&https:\u002F\u002Fpic2.zhimg.com\u002F{id}_{size}.jpg&}}},&columnPosts&:{},&columnSettings&:{&colomnAuthor&:[],&uploadAvatarDetails&:&&,&contributeRequests&:[],&contributeRequestsTotalCount&:0,&inviteAuthor&:&&},&postComments&:{},&postReviewComments&:{&comments&:[],&newComments&:[],&hasMore&:true},&favlistsByUser&:{},&favlistRelations&:{},&promotions&:{},&switches&:{&couldSetPoster&:false},&draft&:{&titleImage&:&&,&titleImageSize&:{},&isTitleImageFullScreen&:false,&canTitleImageFullScreen&:false,&title&:&&,&titleImageUploading&:false,&error&:&&,&content&:&&,&draftLoading&:false,&globalLoading&:false,&pendingVideo&:{&resource&:null,&error&:null}},&drafts&:{&draftsList&:[],&next&:{}},&config&:{&userNotBindPhoneTipString&:{}},&recommendPosts&:{&articleRecommendations&:[],&columnRecommendations&:[]},&env&:{&edition&:{&baidu&:false,&yidianzixun&:false,&qqnews&:false},&isAppView&:false,&appViewConfig&:{&content_padding_top&:128,&content_padding_bottom&:56,&content_padding_left&:16,&content_padding_right&:16,&title_font_size&:22,&body_font_size&:16,&is_dark_theme&:false,&can_auto_load_image&:true,&app_info&:&OS=iOS&},&isApp&:false,&userAgent&:{&ua&:&Mozilla\u002F5.0 (compatible, MSIE 11, Windows NT 6.3; Trident\u002F7.0; rv:11.0) like Gecko&,&browser&:{&name&:&IE&,&version&:&11&,&major&:&11&},&engine&:{&version&:&7.0&,&name&:&Trident&},&os&:{&name&:&Windows&,&version&:&8.1&},&device&:{},&cpu&:{}}},&message&:{&newCount&:0},&pushNotification&:{&newCount&:0}}}
商城密码忘记了 ,其他的也没设置 怎么找回呀
威望帖子积分
小学五年级, 积分 537, 距离下一级还需 63 积分
小学五年级, 积分 537, 距离下一级还需 63 积分
几年前玩的游戏 ,后来有段时间没玩&&把商城密码忘记了&&怎么办& &其他的密保也没设置& &咋办
威望帖子积分
大学一年级, 积分 8447, 距离下一级还需 6553 积分
大学一年级, 积分 8447, 距离下一级还需 6553 积分
没办法了&&你就别在商场充值mb买东西
你可以直接去淘宝买&&不然我建议你还是换一个号
不然改名什么的都不能
威望帖子积分
您好,久游密码找回方式如下:
1、请您登陆页面: 通过久游账户中心自助方式(绑定手机、密保邮箱、密保问题、绑定手机微信)进行久游密码找回的操作。
2、若您选择“密保邮箱重置密码”在输入您的账号及密保邮箱后,系统会给您的密保邮箱发送1封信件,点击链接后可直接填写久游密码;该重置链接超过24小时将会失效,若您未点击该链接修改密码,则原久游密码不会被修改。
3、如果不能找回,您可以登陆页面: 通过账号申诉通道重置久游密码、密保信息、解绑手机及久游安全令(每个账号每6个月只能成功申诉1次)
4、若您无法通过自助和申诉方式进行找回,但您记得注册时身份证信息(有效),并能提供照片的话,您也可以通过传真方式找回久游密码及重置密保信息。
传真服务请登陆: 进行查看(方式一:移动设备电子传真,详见&&方式二:电子传真,详见)
5、如您无法通过以上方式进行找回,那么您只有通过上门服务方式有机会进行办理,上门服务介绍:
6、如您确认需要上门的话,请您在上门之前拨打客服热线详细咨询并预约核实,具体联系方式请见: 感谢您对我们游戏的支持!
随心秀达人
随心秀达人
久游网游乐会会员
Powered by天龙八部2仓库密码忘了。除了强制解除 还有没有别的办法?_百度知道
天龙八部2仓库密码忘了。除了强制解除 还有没有别的办法?
我有更好的答案
就可以啦~~我以前也忘记了。就是要登录游戏后打个电话去验证下,仓库就能用了,就绑定手机就可以解锁了绑定手机
从哪绑定!
采纳率:16%
为您推荐:
其他类似问题
您可能关注的内容
天龙八部2的相关知识
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。密码找回功能缺陷4 years ago67收藏分享举报文章被以下专栏收录像一朵乌云一样成长{&debug&:false,&apiRoot&:&&,&paySDK&:&https:\u002F\u002Fpay.zhihu.com\u002Fapi\u002Fjs&,&wechatConfigAPI&:&\u002Fapi\u002Fwechat\u002Fjssdkconfig&,&name&:&production&,&instance&:&column&,&tokens&:{&X-XSRF-TOKEN&:null,&X-UDID&:null,&Authorization&:&oauth c3cef7c66aa9e6a1e3160e20&}}{&database&:{&Post&:{&&:{&isPending&:false,&contributes&:[{&sourceColumn&:{&lastUpdated&:,&description&:&像一朵乌云一样成长&,&permission&:&COLUMN_PRIVATE&,&memberId&:94163,&contributePermission&:&COLUMN_PUBLIC&,&translatedCommentPermission&:&all&,&canManage&:true,&intro&:&像一朵乌云一样成长&,&urlToken&:&drops&,&id&:2810,&imagePath&:&0be2d7fb9&,&slug&:&drops&,&applyReason&:&&,&name&:&乌云知识库&,&title&:&乌云知识库&,&url&:&https:\u002F\u002Fzhuanlan.zhihu.com\u002Fdrops&,&commentPermission&:&COLUMN_ALL_CAN_COMMENT&,&canPost&:true,&created&:,&state&:&COLUMN_NORMAL&,&followers&:11307,&avatar&:{&id&:&0be2d7fb9&,&template&:&https:\u002F\u002Fpic2.zhimg.com\u002F{id}_{size}.jpg&},&activateAuthorRequested&:false,&following&:false,&imageUrl&:&https:\u002F\u002Fpic2.zhimg.com\u002F0be2d7fb9_l.jpg&,&articlesCount&:25},&state&:&accepted&,&targetPost&:{&titleImage&:&https:\u002F\u002Fpic4.zhimg.com\u002F19b303b78ef73c653f55b83dd35eaa05_r.jpg&,&lastUpdated&:,&imagePath&:&19b303b78ef73c653f55b83dd35eaa05&,&permission&:&ARTICLE_PUBLIC&,&topics&:[],&summary&:&\u003Cb\u003E0x00 背景介绍\u003C\u002Fb\u003E有人的地方就有江湖。 互联网中,有用户注册的地方,基本就会有密码找回的功能。而密码找回功能里可能存在的漏洞,很多程序员都没有想到。而这些漏洞往往可能产生非常大的危害,如用户账号被盗等。并且这种漏洞在非常多的大互联网公司中都出现…&,©Permission&:&ARTICLE_COPYABLE&,&translatedCommentPermission&:&all&,&likes&:0,&origAuthorId&:94163,&publishedTime&:&T11:18:59+08:00&,&sourceUrl&:&&,&urlToken&:,&id&:36196,&withContent&:false,&slug&:,&bigTitleImage&:false,&title&:&密码找回功能缺陷&,&url&:&\u002Fp\u002F&,&commentPermission&:&ARTICLE_ALL_CAN_COMMENT&,&snapshotUrl&:&&,&created&:,&comments&:0,&columnId&:2810,&content&:&&,&parentId&:0,&state&:&ARTICLE_PUBLISHED&,&imageUrl&:&https:\u002F\u002Fpic4.zhimg.com\u002F19b303b78ef73c653f55b83dd35eaa05_r.jpg&,&author&:{&bio&:&&,&isFollowing&:false,&hash&:&fd507d1b83d&,&uid&:52,&isOrg&:false,&slug&:&secdragon&,&isFollowed&:false,&description&:&&,&name&:&瞌睡龙&,&profileUrl&:&https:\u002F\u002Fwww.zhihu.com\u002Fpeople\u002Fsecdragon&,&avatar&:{&id&:&da8e974dc&,&template&:&https:\u002F\u002Fpic4.zhimg.com\u002F{id}_{size}.jpg&},&isOrgWhiteList&:false,&isBanned&:false},&memberId&:94163,&excerptTitle&:&&,&voteType&:&ARTICLE_VOTE_CLEAR&},&id&:235665}],&title&:&密码找回功能缺陷&,&author&:&secdragon&,&content&:&\u003Ch2\u003E\u003Cb\u003E0x00 背景介绍\u003C\u002Fb\u003E\u003C\u002Fh2\u003E\u003Cp\u003E有人的地方就有江湖。\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E互联网中,有用户注册的地方,基本就会有密码找回的功能。\u003C\u002Fp\u003E\u003Cp\u003E而密码找回功能里可能存在的漏洞,很多程序员都没有想到。\u003C\u002Fp\u003E\u003Cp\u003E而这些漏洞往往可能产生非常大的危害,如用户账号被盗等。\u003C\u002Fp\u003E\u003Cp\u003E并且这种漏洞在非常多的大互联网公司中都出现过。\u003C\u002Fp\u003E\u003Ch2\u003E\u003Cb\u003E0x01 检测方式及案例\u003C\u002Fb\u003E\u003C\u002Fh2\u003E\u003Cp\u003E共总结出以下7点。\u003C\u002Fp\u003E\u003Cp\u003E程序员在做这部分功能的时候注意其逻辑缺陷,安全人员也可以多测试一下其中的逻辑问题。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E1、密码找回的凭证太弱,如只需要填入一个四位或者六位的纯数字就可以重置密码,导致可以暴力破解。\u003C\u002Fb\u003E\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E案例:\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&http:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: 当当网任意用户密码修改漏洞\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E还有一个做了限制但是被绕过的经典案例:\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&http:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: 微信任意用户密码修改漏洞\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E限制了提交次数,但是存在逻辑问题,可以绕过,具体可以点击去看下。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E2、密码找回凭证可从客户端直接获取。\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E密码找回凭证在客户端获取,在密码找回时注意抓包查看所有url返回响应等,看是否有最终的凭证出现,这样就可以绕过手机或者安全邮箱了。\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&http:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: 走秀网秀团任意密码修改缺陷\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E3、密码找回凭证在页面中可以直接获取。\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E一个经典案例,找回密码的答案在网页的源代码中……\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&http:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: sohu邮箱任意用户密码重置\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E4、密码找回凭证可以比较容易的猜出。\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E找回密码的关键凭证仅仅是时间戳的md5,被白帽子犀利的察觉到~,轻松找回任意账户密码。\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&http:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: 奇虎360任意用户密码修改漏洞\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E5、密码找回凭证存并非只是与单个用户并绑定的问题。\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E找回密码凭证发到邮箱中,url中包含用户信息以及凭证,但是这个凭证可以重置任何用户。\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&http:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: 身份通任意密码修改-泄漏大量公民信息\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E6、用户找回密码的邮箱地址或者手机号码被修改。\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E这个其实应该是绑定安全手机的逻辑问题,导致可以使任意用户帮上自己可控的安全手机,然后就可以重置任意人的手机号码了。\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&http:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: 网易邮箱可直接修改其他用户密码\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E7、在最后提交修改的密码处的逻辑错误。\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E前面所有的逻辑都没有问题,那么是不是就没有问题了呢?\u003C\u002Fp\u003E\u003Cp\u003E还有白帽子发现,在最后重置密码处跟随一个用户ID,改成其它用户的ID,即可把其它用户改成你刚刚修改的密码。\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&http:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: 携程旅行网任意老板密码修改(庆在wooyun第100洞)\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Ch2\u003E\u003Cb\u003E0x02 修复方案\u003C\u002Fb\u003E\u003C\u002Fh2\u003E\u003Cp\u003E找回密码凭证够复杂并且不可猜测,同时注意以上逻辑问题,不可存在越权,或者重要的凭证在不该出现的地方出现。\u003C\u002Fp\u003E&,&updated&:new Date(&T03:18:59.000Z&),&canComment&:false,&commentPermission&:&anyone&,&commentCount&:2,&collapsedCount&:0,&likeCount&:67,&state&:&published&,&isLiked&:false,&slug&:&&,&isTitleImageFullScreen&:false,&rating&:&none&,&titleImage&:&https:\u002F\u002Fpic4.zhimg.com\u002F19b303b78ef73c653f55b83dd35eaa05_r.jpg&,&links&:{&comments&:&\u002Fapi\u002Fposts\u002F2Fcomments&},&reviewers&:[],&topics&:[],&adminClosedComment&:false,&titleImageSize&:{&width&:600,&height&:600},&href&:&\u002Fapi\u002Fposts\u002F&,&excerptTitle&:&&,&column&:{&slug&:&drops&,&name&:&乌云知识库&},&tipjarState&:&inactivated&,&annotationAction&:[],&sourceUrl&:&&,&pageCommentsCount&:2,&hasPublishingDraft&:false,&snapshotUrl&:&&,&publishedTime&:&T11:18:59+08:00&,&url&:&\u002Fp\u002F&,&lastestLikers&:[{&bio&:&渗透测试&,&isFollowing&:false,&hash&:&9cc0dfffac&,&uid&:464000,&isOrg&:false,&slug&:&shuang-sheng-zhu-22&,&isFollowed&:false,&description&:&&,&name&:&双笙丶&,&profileUrl&:&https:\u002F\u002Fwww.zhihu.com\u002Fpeople\u002Fshuang-sheng-zhu-22&,&avatar&:{&id&:&v2-1f8f9d5cea5b9f9a24ecfc5b&,&template&:&https:\u002F\u002Fpic1.zhimg.com\u002F{id}_{size}.jpg&},&isOrgWhiteList&:false,&isBanned&:false},{&bio&:&CISSP,CISA,CIA,网络工程师,四大IT咨询&,&isFollowing&:false,&hash&:&a822aeac2bd&,&uid&:237800,&isOrg&:false,&slug&:&long-quan-69-57&,&isFollowed&:false,&description&:&半吊子信息安全爱好者&,&name&:&龙泉&,&profileUrl&:&https:\u002F\u002Fwww.zhihu.com\u002Fpeople\u002Flong-quan-69-57&,&avatar&:{&id&:&v2-24db06f2acc9e884cdebca1e&,&template&:&https:\u002F\u002Fpic4.zhimg.com\u002F{id}_{size}.jpg&},&isOrgWhiteList&:false,&isBanned&:false},{&bio&:&信息安全从业&,&isFollowing&:false,&hash&:&3b4acd6a2f071033bdef&,&uid&:586400,&isOrg&:false,&slug&:&xie-jia-28-82&,&isFollowed&:false,&description&:&&,&name&:&叶佳&,&profileUrl&:&https:\u002F\u002Fwww.zhihu.com\u002Fpeople\u002Fxie-jia-28-82&,&avatar&:{&id&:&v2-cc36fde58ed3b53f900db9&,&template&:&https:\u002F\u002Fpic3.zhimg.com\u002F{id}_{size}.jpg&},&isOrgWhiteList&:false,&isBanned&:false},{&bio&:&菜鸟程序员&,&isFollowing&:false,&hash&:&230a6d7c976e98f57e93&,&uid&:317900,&isOrg&:false,&slug&:&justwkj&,&isFollowed&:false,&description&:&御剑乘风来,除魔天地间&,&name&:&莫一兮&,&profileUrl&:&https:\u002F\u002Fwww.zhihu.com\u002Fpeople\u002Fjustwkj&,&avatar&:{&id&:&cd20b448e8c8a96cecbdfc&,&template&:&https:\u002F\u002Fpic3.zhimg.com\u002F{id}_{size}.jpg&},&isOrgWhiteList&:false,&isBanned&:false},{&bio&:&Geek \u002F 系统架构 \u002F 电影&,&isFollowing&:false,&hash&:&bcfc05d858d565b3a3d4d&,&uid&:08,&isOrg&:false,&slug&:&shenglong&,&isFollowed&:false,&description&:&&,&name&:&Shane.XIAO&,&profileUrl&:&https:\u002F\u002Fwww.zhihu.com\u002Fpeople\u002Fshenglong&,&avatar&:{&id&:&9f4fbf7ae&,&template&:&https:\u002F\u002Fpic1.zhimg.com\u002F{id}_{size}.jpg&},&isOrgWhiteList&:false,&isBanned&:false}],&summary&:&\u003Cb\u003E0x00 背景介绍\u003C\u002Fb\u003E有人的地方就有江湖。 互联网中,有用户注册的地方,基本就会有密码找回的功能。而密码找回功能里可能存在的漏洞,很多程序员都没有想到。而这些漏洞往往可能产生非常大的危害,如用户账号被盗等。并且这种漏洞在非常多的大互联网公司中都出现…&,&reviewingCommentsCount&:0,&meta&:{&previous&:null,&next&:{&isTitleImageFullScreen&:false,&rating&:&none&,&titleImage&:&https:\u002F\u002Fpic1.zhimg.com\u002F50\u002F1baaee73a6ab3fe98fd5ee_xl.jpg&,&links&:{&comments&:&\u002Fapi\u002Fposts\u002F2Fcomments&},&topics&:[],&adminClosedComment&:false,&href&:&\u002Fapi\u002Fposts\u002F&,&excerptTitle&:&&,&author&:{&bio&:&&,&isFollowing&:false,&hash&:&fd507d1b83d&,&uid&:52,&isOrg&:false,&slug&:&secdragon&,&isFollowed&:false,&description&:&&,&name&:&瞌睡龙&,&profileUrl&:&https:\u002F\u002Fwww.zhihu.com\u002Fpeople\u002Fsecdragon&,&avatar&:{&id&:&da8e974dc&,&template&:&https:\u002F\u002Fpic4.zhimg.com\u002F{id}_{size}.jpg&},&isOrgWhiteList&:false,&isBanned&:false},&column&:{&slug&:&drops&,&name&:&乌云知识库&},&content&:&\u003Cp\u003E最近研究PHP漏洞的挖掘,总结了一些我挖到的漏洞,整理了一下思路,求各路神人补充、批评、指导~\u003C\u002Fp\u003E\u003Cp\u003E本文所有示例均来自我在乌云上已由厂商允许公开的漏洞\u003C\u002Fp\u003E\u003Cp\u003E由于是实例的分析,基础知识请百度,就不全都粘贴到前面了\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E0x01:
搜索所有的用户可控变量(GET\u002FPOST\u002FCOOKIE\u002Freferer)\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E原因:所有用户输入都是有害的,代码审计注重函数和变量,先看看在什么地方会有输入\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E可能出现的场景:\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ea) id=$_GET['id'];\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E可能存在的问题:\u003C\u002Fp\u003E\u003Cp\u003E无过滤的SQL注入:\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: chshcms 程氏CMS V3.0 注射(已在官方演示站测试)\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cdiv class=\&highlight\&\u003E\u003Cpre\u003E\u003Ccode class=\&language-php\&\u003E\u003Cspan\u003E\u003C\u002Fspan\u003E\u003Cspan class=\&x\&\u003E$id=trim($_GET[\&id\&]);\u003C\u002Fspan\u003E\n\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E\u002F\u002F下面直接就进查询语句了\u003C\u002Fp\u003E\u003Cp\u003E1\u003C\u002Fp\u003E\u003Cdiv class=\&highlight\&\u003E\u003Cpre\u003E\u003Ccode class=\&language-text\&\u003E\u003Cspan\u003E\u003C\u002Fspan\u003Eif($db-&query(\&update \&.Getdbname('dance').\& set CS_TID=\&.$tid.\& where cs_user='\&.$cscms_name.\&' and\n\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E当然,这是GET之后没做过滤的情景\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Eb) id=intval($_GET['id']);\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E可能存在的问题:intval对字符型无用,字符型变量是怎么处理的呢?\u003C\u002Fp\u003E\u003Cp\u003E如果字符型的addslashes,注意数字型盲注(见c2分析)\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ec) $tid=XX_Request(\&tid\&);\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E使用自己定义的安全过滤函数处理变量,很常见,很多框架都提供了解决方案,不过自己包装一个也是很常见的\u003C\u002Fp\u003E\u003Cp\u003E可能存在的问题:\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ec1) 有没有忘记使用这个处理函数?\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: chshcms 程氏CMS V3.0 注射(已在官方演示站测试)\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cdiv class=\&highlight\&\u003E\u003Cpre\u003E\u003Ccode class=\&language-text\&\u003E\u003Cspan\u003E\u003C\u002Fspan\u003E$tid=CS_Request(\&tid\&); \u002F\u002F使用安全的CS_request addslash
\n$id=trim($_GET[\&id\&]);
\u002F\u002F呵呵呵,曲项向天歌,CS_Request哭了 \n\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E其实还是上面那个例子,自己忘了用这函数过滤了\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ec2) 函数本身是否安全?\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: (新)程氏舞曲CMS 三步GETSHELL(实例演示+源码详析)\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cdiv class=\&highlight\&\u003E\u003Cpre\u003E\u003Ccode class=\&language-text\&\u003E\u003Cspan\u003E\u003C\u002Fspan\u003E$t_Val = $magic?trim($_GET[$pi_strName]):addslashes(trim($_GET[$pi_strName])); \n\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E使用了addslashes,这就意味着逃脱单引号难度加大,需要寻找没有单引号保护的语句注入\u003C\u002Fp\u003E\u003Cp\u003Eaddslashes只处理单引号和斜杠,因此无法过滤形如 134 and 1=1 这样的注射语句,请自行百度无单引号盲注\u003C\u002Fp\u003E\u003Cp\u003E在下面的语句中,$cscms_name就是有单引号保护的,而$id是没有单引号保护的\u003C\u002Fp\u003E\u003Cdiv class=\&highlight\&\u003E\u003Cpre\u003E\u003Ccode class=\&language-text\&\u003E\u003Cspan\u003E\u003C\u002Fspan\u003E$db-&query(\&update \&.Getdbname('xiaoxi').\& set CS_DID=1 where CS_ID=\&.$id.\& and cs_usera='\&.$cscms_name.\&'\&); \n\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E所以id引发了盲注\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ec3) 过滤函数能否满足业务逻辑的特殊需求?\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E负数订单啦,自己修改自己的投票数啦,各种业务逻辑上的问题都有可能发生\u003C\u002Fp\u003E\u003Cp\u003E非常可惜,这个我还没撞见过,如果以后撞见再更新到文章里\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ed) 不要忘记我们能控制referer等变量\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E可能存在的问题:\u003C\u002Fp\u003E\u003Cp\u003E虽然发现GET\u002FPOST都过滤处理了,但是referer和cookie容易被忽视\u003C\u002Fp\u003E\u003Cp\u003E$_SERVER[\&HTTP_REFERER\&] 例子:\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: MacCMS 6.x referer处理不当引发注射\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E很遗憾,这个截至今日还未公开,等公开了大家再去看吧\u003C\u002Fp\u003E\u003Cp\u003E$_COOKIE['xxx'] 例子:\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: TCCMS全版本COOKIE注入(已演示证明)\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cdiv class=\&highlight\&\u003E\u003Cpre\u003E\u003Ccode class=\&language-text\&\u003E\u003Cspan\u003E\u003C\u002Fspan\u003E$sql=\&select password from \&.$_Obj-&table.\& where id=\&.$_COOKIE['userId'];\n\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E情况和GET时是一样的,不过注入时操作起来稍微麻烦些,SQLMAP教程我就不粘贴到这里了,不会COOKIE注射的请百度\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ee) 还有其他的输入变量,请各路高手带着实例补充!\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E目前,我们了解了程序总体上是如何处理用户输入的\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E0x02:单独搜索$_COOKIE,分析身份认证时的逻辑\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E原因:身份验证属于业务逻辑中“高危”的部分,大部分的高危漏洞都出在这里\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E可能出现的场景:\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ea) 没有cookie处理,直接全是session\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E那就等之后通读代码时直接去读认证算法好啦\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Eb) 认证算法中强度太弱(用可控的COOKIE算来算去),降低了伪造身份的难度\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: (新)程氏舞曲CMS 三步GETSHELL(实例演示+源码详析)\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E第二步伪造身份时\u003C\u002Fp\u003E\u003Cdiv class=\&highlight\&\u003E\u003Cpre\u003E\u003Ccode class=\&language-text\&\u003E\u003Cspan\u003E\u003C\u002Fspan\u003Eelseif($_COOKIE['CS_Login']!=md5($_COOKIE['CS_AdminID'].$_COOKIE['CS_AdminUserName'].$_COOKIE['CS_AdminPassWord'].$_COOKIE['CS_Quanx'])){ \n\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E有什么意义呢?COOKIE我们能控制,当然之后程序有别的验证,这里只是举例,就这一句而言没有意义\u003C\u002Fp\u003E\u003Cp\u003E实际上漏洞里这个CMS这个算法,后面只是在认证时没有用到安装时admin写死在config里的验证码而已,不过难度已经降下来了\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ec) 直接能绕过\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E如果情况b 没有其他验证了,那就绕过了\u003C\u002Fp\u003E\u003Cp\u003E目前我们只是验证了登陆时的逻辑,之后还需分析权限的缜密程度\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E0x03:搜索所有的文件操作函数,分析其逻辑\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E原因:文件操作函数属于敏感函数,往往业务逻辑上的漏洞可能导致任意文件操作\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E可能出现的场景:\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ea) 任意文件下载\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: appcms 最新版 1.3.708 任意文件下载\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cdiv class=\&highlight\&\u003E\u003Cpre\u003E\u003Ccode class=\&language-text\&\u003E\u003Cspan\u003E\u003C\u002Fspan\u003E&?php
\nif(isset($_GET['url']) && trim($_GET['url']) != '' && isset($_GET['type'])) {
$img_url = base64_decode($_GET['url']);
$shffix = trim($_GET['type']);
\nheader(\&Content-Type: image\u002F{$shffix}\&);
\nreadfile($img_url);\n} else {\ndie('image not find');
\n} \n?&\n\u003C\u002Fcode\u003E\u003C\u002Fpre\u003E\u003C\u002Fdiv\u003E\u003Cp\u003EPS:由于是业务逻辑上的问题,是没办法通过自动扫描发现的,而且针对SQL和HTML的过滤是起不到特大作用的\u003C\u002Fp\u003E\u003Cp\u003E任意文件读取的最大作用是读config.php 和各种系统的敏感文件(如何爆物理目录?请看0x04)\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Eb) 任意文件写入\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: CSCMS V3.5 最新版 后台命令执行GETSHELL(源码详析)\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E发帖时仍未公开,所以先不做分析,等公开后更新~\u003C\u002Fp\u003E\u003Cp\u003E任意文件写入的最大应用就是写马了,最大障碍是绕过过滤的HTML字符比如: &&,解决方式是大量应用base64\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ec) 任意文件删除\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E很遗憾,还没撞见过,要是撞见一个该多好\u003C\u002Fp\u003E\u003Cp\u003E任意文件删除的作用可以是删除install.lock,然后重装CMS\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ed) 其他操作,求补充\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E文件操作可以结合爆目录\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E0x04:爆物理目录\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E原因:上一小节我们可能能够任意操作文件,但没拿到网站的物理目录地址,的确可以用黑盒不停地试图读取 c:\\boot.ini 和 \u002Fetc\u002Fpasswd 之类的来试图判断,但是这么弄实在不可靠\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E怎么办:使用php vulnerability hunter 自动扫描就好了,这个确实可以偷懒用工具扫描,因为这个爆目录危害实在太低了,必须配合其他漏洞才有危害,所以一般CMS都会有这种漏洞,我是说能扫描出来的漏洞\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: appcms 最新版 1.3.708 任意文件下载\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E如果你不知道物理路径,你可以试着用工具扫描一下,然后再读取\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E0x05:搜索eval,preg_replace什么的,看看有没有命令执行\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E原因:能直接执行PHP代码,也就是说可以写一句话木马了(file_put_contents),当然,要找可写目录\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E这地方我一直没能找到例子,没有亲自实践过,求各路高手带实例提供几个?\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E0x06:可以开始通读代码了,从index开始,注意的是数据的传输和输出函数\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E原因:常见模式化的漏洞都不存在的话,就要分析整个系统了,因此需要完全而彻底地去做审计,这样比继续单独搜索变量然后跟踪更加省力一些\u003Cbr\u003E\u003C\u002Fp\u003E\u003Cp\u003E可能出现的场景:\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ea) 之前的过滤全白费了\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Ca href=\&https:\u002F\u002Flink.zhihu.com\u002F?target=http%3A\u002F\u002Fwww.wooyun.org\u002Fbugs\u002Fwooyun-\& class=\& wrap external\& target=\&_blank\& rel=\&nofollow noreferrer\&\u003EWooYun: YXcms1.2.0版本 存储式XSS(实站演示+源码分析)\u003C\u002Fa\u003E\u003C\u002Fp\u003E\u003Cp\u003E没公开,等公开再更新文章,这是一个存储式xss\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Eb) 二次注入\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E由于二次开发中从数据库里取出的值没有过滤,导致注射,由于没有直接从用户输入中获得,所以之前步骤很难发现\u003C\u002Fp\u003E\u003Cp\u003E哎呀,求各路高手提供个示例呀,我这个自己也没有碰到过丫\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003Ec) 平行权限、任意投票、越权访问 等等 等等 一大堆\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E\u003Cb\u003E0x07 总结\u003C\u002Fb\u003E\u003C\u002Fp\u003E\u003Cp\u003E目前我就知道这么些,希望能对刚接触PHP代码审计漏洞挖掘的新手有点帮助,由于我也是刚开始学习PHP漏洞挖掘不久,希望大家能广泛提供学习的建议以及思路,也请批评指正文章中不妥之处,更希望高手们能带着示例来指导。\u003C\u002Fp\u003E&,&state&:&published&,&sourceUrl&:&&,&pageCommentsCount&:0,&canComment&:false,&snapshotUrl&:&&,&slug&:,&publishedTime&:&T13:05:32+08:00&,&url&:&\u002Fp\u002F&,&title&:&PHP漏洞挖掘思路+实例&,&summary&:&最近研究PHP漏洞的挖掘,总结了一些我挖到的漏洞,整理了一下思路,求各路神人补充、批评、指导~本文所有示例均来自我在乌云上已由厂商允许公开的漏洞由于是实例的分析,基础知识请百度,就不全都粘贴到前面了\u003Cb\u003E0x01: 搜索所有的用户可控变量(GET\u002FPOST\u002FCOOKI…\u003C\u002Fb\u003E&,&reviewingCommentsCount&:0,&meta&:{&previous&:null,&next&:null},&commentPermission&:&anyone&,&commentsCount&:0,&likesCount&:37}},&annotationDetail&:null,&commentsCount&:2,&likesCount&:67,&FULLINFO&:true}},&User&:{&secdragon&:{&isFollowed&:false,&name&:&瞌睡龙&,&headline&:&&,&avatarUrl&:&https:\u002F\u002Fpic4.zhimg.com\u002Fda8e974dc_s.jpg&,&isFollowing&:false,&type&:&people&,&slug&:&secdragon&,&bio&:&&,&hash&:&fd507d1b83d&,&uid&:52,&isOrg&:false,&description&:&&,&badge&:{&identity&:null,&bestAnswerer&:null},&profileUrl&:&https:\u002F\u002Fwww.zhihu.com\u002Fpeople\u002Fsecdragon&,&avatar&:{&id&:&da8e974dc&,&template&:&https:\u002F\u002Fpic4.zhimg.com\u002F{id}_{size}.jpg&},&isOrgWhiteList&:false,&isBanned&:false}},&Comment&:{},&favlists&:{}},&me&:{},&global&:{&experimentFeatures&:{&ge3&:&ge3_9&,&ge2&:&ge2_1&,&androidPassThroughPush&:&all&,&sEI&:&c&,&nwebQAGrowth&:&experiment&,&qawebRelatedReadingsContentControl&:&close&,&liveStore&:&ls_a2_b2_c1_f2&,&qawebThumbnailAbtest&:&new&,&nwebSearch&:&nweb_search_heifetz&,&rt&:&y&,&showVideoUploadAttention&:&true&,&isOffice&:&false&,&enableTtsPlay&:&post&,&newQuestionDiversion&:&https:\u002F\u002Fzhuanlan.zhihu.com\u002Fp\u002F&,&newLiveFeedMediacard&:&new&,&newMobileAppHeader&:&true&,&hybridZhmoreVideo&:&yes&,&nwebGrowthPeople&:&default&,&nwebSearchSuggest&:&default&,&qrcodeLogin&:&qrcode&,&enableVoteDownReasonMenu&:&enable&,&isf8&:&0&,&isShowUnicomFreeEntry&:&unicom_free_entry_off&,&newMobileColumnAppheader&:&new_header&,&androidDbRecommendAction&:&open&,&zcmLighting&:&zcm&,&androidDbFeedHashTagStyle&:&button&,&appStoreRateDialog&:&close&,&default&:&None&,&isNewNotiPanel&:&no&,&wechatShareModal&:&wechat_share_modal_show&,&growthBanner&:&default&,&androidProfilePanel&:&panel_b&}},&columns&:{&next&:{},&drops&:{&following&:false,&canManage&:false,&href&:&\u002Fapi\u002Fcolumns\u002Fdrops&,&name&:&乌云知识库&,&creator&:{&slug&:&secdragon&},&url&:&\u002Fdrops&,&slug&:&drops&,&avatar&:{&id&:&0be2d7fb9&,&template&:&https:\u002F\u002Fpic2.zhimg.com\u002F{id}_{size}.jpg&}}},&columnPosts&:{},&columnSettings&:{&colomnAuthor&:[],&uploadAvatarDetails&:&&,&contributeRequests&:[],&contributeRequestsTotalCount&:0,&inviteAuthor&:&&},&postComments&:{},&postReviewComments&:{&comments&:[],&newComments&:[],&hasMore&:true},&favlistsByUser&:{},&favlistRelations&:{},&promotions&:{},&switches&:{&couldSetPoster&:false},&draft&:{&titleImage&:&&,&titleImageSize&:{},&isTitleImageFullScreen&:false,&canTitleImageFullScreen&:false,&title&:&&,&titleImageUploading&:false,&error&:&&,&content&:&&,&draftLoading&:false,&globalLoading&:false,&pendingVideo&:{&resource&:null,&error&:null}},&drafts&:{&draftsList&:[],&next&:{}},&config&:{&userNotBindPhoneTipString&:{}},&recommendPosts&:{&articleRecommendations&:[],&columnRecommendations&:[]},&env&:{&edition&:{&baidu&:false,&yidianzixun&:false,&qqnews&:false},&isAppView&:false,&appViewConfig&:{&content_padding_top&:128,&content_padding_bottom&:56,&content_padding_left&:16,&content_padding_right&:16,&title_font_size&:22,&body_font_size&:16,&is_dark_theme&:false,&can_auto_load_image&:true,&app_info&:&OS=iOS&},&isApp&:false,&userAgent&:{&ua&:&Mozilla\u002F5.0 (compatible, MSIE 11, Windows NT 6.3; Trident\u002F7.0; rv:11.0) like Gecko&,&browser&:{&name&:&IE&,&version&:&11&,&major&:&11&},&engine&:{&version&:&7.0&,&name&:&Trident&},&os&:{&name&:&Windows&,&version&:&8.1&},&device&:{},&cpu&:{}}},&message&:{&newCount&:0},&pushNotification&:{&newCount&:0}}}
我要回帖
更多关于 qq华夏仓库密码忘记了 的文章
更多推荐
- ·支付宝花呗口令红包能用花呗吗怎么用?
- ·请问花钱可以通过抖音搜索对方账号对方能知道吗号找到人吗?
- ·怎么考低压电工证证考试报名需要哪些条件?
- ·山东专升本本报名了但未被录取,还有机会参加录取吗?
- ·石家庄高中全托机构自立高中老师流动性大吗?
- ·魅蓝note2到底适合用哪种有无线耳机和有线耳机?
- ·想购买ois光学防抖与四轴检测标准设备,求推荐!
- ·安卓手机三星电池损耗检测软件用什么软件?
- ·手机版刷机大师密码锁忘了怎么办
- ·4C怎样更改默认浏览器安装应用到SD卡上
- ·启动U盘时那个分配创客空间是做什么的用的
- ·小白学发声求助耳机发声原理哪种好
- ·这是什么牌子的蓝牙耳机什么牌子好,怎么链接,按钮是假的
- ·512电脑显卡多少钱一个最新信息
- ·想换手机图片个手机,在一千到两千之间的华为和OPPO哪个好些?
- ·我在中国买的iphone6s在美国多少钱能用吗
- ·什么叫外围女 不就是把固定鸡窝变成移动鸡窝吗
- ·来电提示对方手机号姓名怎么关掉ipad的来电
- ·剑三仓库密码忘记了了除了强制解绑还有其他找回方式吗
- ·我的斗地主账号删了,绑定手机号怎么找回qq账号,用手机号怎么找回qq账号能不能找回原来的账号。
- ·求助大神,戴尔inspiron灵越15r15R
- ·海淘Moto X 手机海淘需要注意什么么
- ·朋友们 我女朋友爸爸生日送什么他爸爸反对我们在一起把她的手机给没收了,我只知道她在湖南省永州道县人民医院怎么办
- ·现在有没有intelcpu8核intel第七代处理器器
- ·山寨红米,网络图标出现感叹号号有这系统吗?
- ·手机里的软件华为总是自动下载软件卸载怎么回事
- ·如何用手机话费充q币冲电脑版坦克堂点卷。
- ·挂式音响怎么连接电脑主机使用??线头挂锡怎么接啊?
- ·有没有哪个了解广州大型公司搬家哪家南京比较好的搬家公司
- ·亚克力标牌亚克力丝网印刷价格应注意什么
- ·如何加入思埠集团代理新微商做代理级别及拿货价
- ·深圳市杭州世尊科技是传销吗有限公司的主营产品是什么?
- ·包味天夏要多少包原味加盟费费
- ·关于会计舞弊审计案例分析方法的案例
