0×01 原理分析
最近爆出关于利用社工库爆破Discuz论坛用户名密码的工具,造成很多大的论坛用户信息泄露,分析原理如下。
这里Discuz判断访问IP主要用了下面这段逻辑,
private function _get_client_ip() {
$ip = $_SERVER['REMOTE_ADDR'];
if (isset($_SERVER['HTTP_CLIENT_IP']) && preg_match(‘/^([0-9]{1,3}.){3}[0-9]{1,3}$/’, $_SERVER['HTTP_CLIENT_IP'])) {
$ip = $_SERVER['HTTP_CLIENT_IP'];
} elseif(isset($_SERVER['HTTP_X_FORWARDED_FOR']) AND preg_match_all(‘#d{1,3}.d{1,3}.d{1,3}.d{1,3}#s’, $_SERVER['HTTP_X_FORWARDED_FOR'], $matches)) {
foreach ($matches[0] AS $xip) {
if (!preg_match(‘#^(10|172.16|192.168).#’, $xip)) {
$ip = $xip;
break;
}
}
}
return $ip;
}
如果存在HTTP HEAD里存在clientip则判断为clientip,如果存在XFF头,则判断为XFF,如果二者都没有,则直接取$_SERVER['REMOTE_ADDR']。其实这段逻辑是存在漏洞的,如果我们自己构造HTTP HEAD并在里面加入clientip、XFF字段,便可以轻松绕过DZ的防暴力猜测机制,DZ只会封掉我们伪造的clientip、XFF的IP,而不会限制真实IP。
这里我以DZ X2.5为例,跟踪用户登录的逻辑,登录执行class_member.php下的on_login(),这里DZ会先判断用户登录失败的次数是否大于4,也就是它的防爆破机制,这里执行logincheck()函数,如图所示
继续跟入这里可以看到了这个fetch_username会去pre_common_failedlogin这个表查询登录失败的次数,而这里用的便是$_G[‘clientip’]
关于$_G[‘clientip’]获取的内容便是前面提到的那个_get_client_ip函数实现,如图所示
这里fetch_username会去pre_common_failedlogin这个表查询登录失败的次数,如图所示
继续跟踪后面的内容,再回到logincheck的代码,后面这个$return这里会判断查询记录以及距离最后一次登陆失败的的时间是否大于15分钟,这里返回$return是0,说明登陆失败次数大于4次,
因为这里返回0所以进入showmessage(‘login_strike’)返回页面登陆失败提示。
返回如下
以上内容只是分析了DZ防止暴力破击的机制,可以看到当HTTP HEAD中同时存在client-ip、X-FORWARDED-FOR以及$_SERVER[‘REMOTE_ADDR’]时,DZ会优先将client-ip、X-FORWARDED-FOR作为源IP,所以封掉的永远是client-ip或是XFF,而不影响真正的连接IP。我们再回到问题上来,利用工具便是钻了这个空子,构造请求暴力破解的,至于利用社工库,只不过是利用一些已知社工网站提供的接口来撞库查询用户密码,例如www.cnseu.org。
0×02 临时解决方案
开启验证码,这里以DZ X2.5为例,如图所示:
至于社工撞库,因为与正常的登陆行为没有任何区别,所以建议广大用户尽快修改密码,并设置强壮密码,切忌多个账号使用统一密码。TEAM:360网站卫士
1、本站提供的源码不保证资源的完整性以及安全性,不附带任何技术服务!
2、本站提供的模板、软件工具等其他资源,均不包含技术服务,请大家谅解!
3、本站提供的资源仅供下载者参考学习,请勿用于任何商业用途,请24小时内删除!
4、如需商用,请购买正版,由于未及时购买正版发生的侵权行为,与本站无关。
5、本站部分资源存放于百度网盘或其他网盘中,请提前注册好百度网盘账号,下载安装百度网盘客户端或其他网盘客户端进行下载;
6、本站部分资源文件是经压缩后的,请下载后安装解压软件,推荐使用WinRAR和7-Zip解压软件。
7、如果本站提供的资源侵犯到了您的权益,请邮件联系: 11210980@qq.com 进行处理!
本文地址:https://www.zycang.com/115258.html
文章转载或复制请以超链接形式并注明来源出处。 本文最后更新于:2023-07-06 18:45:30
声明:某些文章或资源具有时效性,若有 错误 或 所需下载资源 已失效,请联系客服QQ:11210980
请登录后发表评论
注册