phpwind可绕过验证码继续暴力破解用户（demo演示）

### 简要描述： 帮过我的人，从不敢忘。打击我的人，感谢你们！ ### 详细说明： 首先来到phpwind的官网看看，发现phpwind已经更新到9.0了，官网也是用的最新的程序 [<img src="https://images.seebug.org/upload/201411/14145300ed61e3f0b68154b40d6ff9703d4fc37b.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/14145300ed61e3f0b68154b40d6ff9703d4fc37b.png) 然后来到登陆的地方可以看到，网站有验证码限制（心凉了半截） [<img src="https://images.seebug.org/upload/201411/14145313ad690a08625c13eb1299bf1abd86fb17.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/14145313ad690a08625c13eb1299bf1abd86fb17.png) 然后随便选个账号登陆看看，输入错误以后会发现有登陆次数的限制（彻底感觉无望了。。） [<img src="https://images.seebug.org/upload/201411/141453225e0ab7b9005aa963440c0d4a76a641c9.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/141453225e0ab7b9005aa963440c0d4a76a641c9.png) 这里我以为他是封IP的，对IP做了限制的，但是我不死心啊，换了一个账号随便登陆一下发现原来是对账号做限制而不是ip（心热了半截） [<img src="https://images.seebug.org/upload/201411/14145328abbb48693b0c9641778001777748d2d7.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/14145328abbb48693b0c9641778001777748d2d7.png) 既然登陆限制解决了，那就好办多了，对验证码的绕过我还是比较有信心的，先抓个包看看吧，发现用户名和密码全部明文传输，而且验证码的包是可以抓到的 [<img src="https://images.seebug.org/upload/201411/14145333b6afd3fd064a24a72c98c5b3f0508c60.png" alt="5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/14145333b6afd3fd064a24a72c98c5b3f0508c60.png) 然后看下回显吧 [<img src="https://images.seebug.org/upload/201411/14145338991dfd2e822ba947bbad5a9a46086192.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/14145338991dfd2e822ba947bbad5a9a46086192.png) 再看下错误的验证码的回显 [<img src="https://images.seebug.org/upload/201411/14145343df2c9adce0c6d18af5c46e8c51453949.png" alt="7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/14145343df2c9adce0c6d18af5c46e8c51453949.png) 再换回正确的对比了一席，发现回显字节长度和之前一样，说明验证码是可以绕过的（死灰复燃~） [<img src="https://images.seebug.org/upload/201411/14145348fffc522673a2d0199f1b833318d39c04.png" alt="8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/14145348fffc522673a2d0199f1b833318d39c04.png) 然后爆破看看，跑了一会儿，由于这是官方的论坛所以可以看到虽然只跑了一小会儿但还是爆破出来了很多用户的 [<img src="https://images.seebug.org/upload/201411/1414535318012d8d952c9950871e09293746bf03.png" alt="9.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/1414535318012d8d952c9950871e09293746bf03.png) [<img src="https://images.seebug.org/upload/201411/141454366837b623ab3c50290f2665cc709957fb.png" alt="15.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/141454366837b623ab3c50290f2665cc709957fb.png) [<img src="https://images.seebug.org/upload/201411/14145417dfa9cb0c7d75a57dadd3172739195376.png" alt="14.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/14145417dfa9cb0c7d75a57dadd3172739195376.png) [<img src="https://images.seebug.org/upload/201411/141454126f195152257d3ca3489b6332722323a5.png" alt="13.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/141454126f195152257d3ca3489b6332722323a5.png) [<img src="https://images.seebug.org/upload/201411/1414540631c073041db3836f0b4f1b7a33c3b331.png" alt="12.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/1414540631c073041db3836f0b4f1b7a33c3b331.png) [<img src="https://images.seebug.org/upload/201411/141454022992cf5b200b24dba66ae988f53d54e8.png" alt="11.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/141454022992cf5b200b24dba66ae988f53d54e8.png) [<img src="https://images.seebug.org/upload/201411/14145357b89cb1d4c95b1303fc9aa8a8688a0ac8.png" alt="10.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/14145357b89cb1d4c95b1303fc9aa8a8688a0ac8.png) 随便选几个登陆看看全部登陆成功的，发现他这个资料泄露也是很严重的，只要填写了，家庭地址，支付宝，手机号之类的敏感信息全部都可以看到的 [<img src="https://images.seebug.org/upload/201411/14145456f804ea936425f3fbd149d9b5e6ba9516.png" alt="20.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/14145456f804ea936425f3fbd149d9b5e6ba9516.png) [<img src="https://images.seebug.org/upload/201411/141454504ab24afd40faf9e3655f4a571b57194e.png" alt="19.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/141454504ab24afd40faf9e3655f4a571b57194e.png) [<img src="https://images.seebug.org/upload/201411/14145500e07df525a5133384409bf145d776ed15.png" alt="21.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/14145500e07df525a5133384409bf145d776ed15.png) [<img src="https://images.seebug.org/upload/201411/14145444d8943daed11f8d178725cf4b8aa1af0c.png" alt="18.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/14145444d8943daed11f8d178725cf4b8aa1af0c.png) 另外PHPWIND是针对论坛的CMS，所以暴力破解感觉危害还是不小的吧 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201411/14145456f804ea936425f3fbd149d9b5e6ba9516.png" alt="20.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/14145456f804ea936425f3fbd149d9b5e6ba9516.png) [<img src="https://images.seebug.org/upload/201411/141454504ab24afd40faf9e3655f4a571b57194e.png" alt="19.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/141454504ab24afd40faf9e3655f4a571b57194e.png) [<img src="https://images.seebug.org/upload/201411/14145500e07df525a5133384409bf145d776ed15.png" alt="21.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/14145500e07df525a5133384409bf145d776ed15.png) [<img src="https://images.seebug.org/upload/201411/14145444d8943daed11f8d178725cf4b8aa1af0c.png" alt="18.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/14145444d8943daed11f8d178725cf4b8aa1af0c.png)