在线av. 新式鸠合监犯之PHP网站后台密码绕过的几种姿势
案例配景:在线av.
在DZ回归的办事器镜像或是在DBW当中的办事器检材当中,经常遇到咱们拿到的办事器需要咱们进行网站重构,网站重构的要点和难点是网站后台的重构,因为后台的可视化页面张望后台数据,便于分析或是解题。是以此时咱们需要得回到网站后台的地址与网站后台的账号和密码,何如细则并得回它们呢?还有网站后台的密码绕过是否有多种款式?这期咱们从DZ回归的一台办事器该何如管束?咱们将得回一台办事器中的PHP网站后台地址,账号密码到绕事后台密码的多种款式进行解说,带你学会PHP网站后台密码绕过,包括何如对办事器的网站进行重构的扎眼进程。
本事旨趣:
网站后台账号的登录考证逻辑会体咫尺网站源码当中,网站源码中处理网站后台的代码作用是它将会去考证在网站后台所输入的账号和密码是否匹配,要是账号或密码有一项不匹配将会复返写在源码中的失实信息或相关。要是账号和密码两者信息一致,则玩忽顺利登录网站后台。
绕过旨趣:
咱们通过本事旨趣不错知说念,网站后台的登录逻辑就体咫尺网站源码当中,是以咱们通过分析网站的源代码就不错知说念网站后台密码的加密款式。绕过的款式不错是:1.看懂代码知说念其登录逻辑,修改登录逻辑。2.以换取的加密款式对明文密码进行加密,将其加密完成后的哈希值替换数据库当中的哈希值,再用我方竖立的明文密码进行加密即可。
快速定位PHP网站后台加密款式:
咱们在网站源码当中何如快速定位网站后台的加密款式在那里呢?苟简有两种念念路:1.使用后台报错的教唆信息在网站源码当中进行定位。2.使用网站的后台数据库中管束员表的非凡字段名动作要津字进行搜索,因为此时咱们的网站源码中信服会体现出后台插入到数据库当中的代码动作,同样“insert into”或是“update”。
有了上述的表面常识后,要是是生手,提倡先看这两篇著作,了解完办事器建站基础常识后,接下来咱们插足实操门径。
1.对DZ回归的办事器先进行仿真。
对办事器镜像仿真不错使用:1.FTK image手工挂载到腹地,再使用Vmware添加物理磁盘进行手工仿真再进行手工绕密。2.使用取证厂商的仿真软件顺利进行仿真并绕密。克己是不需要手工挂载,手工绕密,浮浅高效。
这里采取的仿真器用是好意思亚的电子数据仿真系统:
中国 拳交图片
仿真系统将自动充值Linux系统密码为123456,在这里使用root账户对其进行登录。
图片
在这里为了使操作效力更高效,咱们使用Finalshell末熟察关器用对其进行相关。在相关前,咱们需要得回腹地的IP地址以及ssh所对应的端口,分辨使用敕令”ip a”、”netstat -lntp”进行得回,要是相关不上,这里则需要探究面前主机能否ping通凭空机中的办事器、ssh的建设权限、防火墙是否放行ssh端口等。
图片
从上图中,咱们不错得到的ip地址是192.168.252.151,“/24”为子网掩码,无用管他。得到的ssh端口为27692。使用Finalshell对其进行相关:新建相关,填写好IP地址与端口。
图片
相关顺利后,就不错对其进行操作了。Finalshell的作用特殊于将Vmware的阿谁界面搬到Finalshell来,克己是不错解放复制粘贴,也不错对Linux文献夹可视化,方便对文献进行操作,上传下载。如下图。
图片
在拿到办事器后,咱们要先判断下,这个办事器所使用的web中间件是什么。咱们不错顺利使用netstat -lntp张望面前办事器所开启的办事,但无发现web中间件,要是对web中间件莫得宗旨的话,不错张望著作。
图片
是以此时咱们不错用”ps -ef | grep nginx”张望办事器进度当中是否有nginx的进度,或是”find / -name nginx.conf”全局查找nginx的建设文献。
图片
不错看到,面前办事器使用的是nginx的web中间件,一般来说,办事器需要搭建一个web中间件来给网站提供办事。这里不错把网站比作成是一棵树,web中间件即是这棵树的泥土,离开了泥土(web中间件),这棵树(网站)将不成存活。是以这个时候咱们需要将nginx的办事使用敕令”systemctl start nginx”启动。再使用”netstat -lntp”张望nginx的办事。
图片
通过上图,好色妖姬杨贵妃不错看到,此时nginx的办事照旧启动,那何如张望诓骗nginx所搭建的网站信息?这时咱们就需要去张望nginx.conf的建设文献。这个建设文献好比是这棵树(网站)的讲解书,有讲解这棵树的品种,习性(网站的拜访端口及网站的运转目次)。关于nginx的web中间件不错使用敕令“nginx -T”张望nginx建设文献信息并将其打印出来。
图片
网站拜访端口、拜访域名、默许文档、运转目次
既然有网站的拜访端口及域名,此时咱们就不错将其域名绑定到腹地的hosts文献。位置:
C:\Windows\System32\drivers\etc\hosts 不错使用记事本剪辑之。hosts文献特殊于腹地的DNS。
图片
hosts文献绑定的规章是”ip 域名”,”#”号为此条绑定纪录不奏效,是以使用咱们面前的ip地址将其绑定:
192.168.252.151 aowei.shop
图片
绑定完成后,顺利在浏览器拜访该网站域名可得。因拜访的端口为80,为默许拜访端口,是以顺利拜访该域名即可拜访首页。
图片
玩忽正常拜访网站页面,除了静态页面,就讲解数据库的建设信息是一致的。是以此时咱们需要去找后台地址。网站的后台地址得回措施:
1.网站拜访日记:网站的拜访日记会纪录系数拜访网站的往时用户及管束员用户拜访的时候点、IP地址、拜访的URL。网站的拜访日记使用”nginx -T”敕令即可得回。
图片
2.御剑器用扫描:御剑有常见的url的字典,不错使用器用进行快速掌执网站的哪个页面不错拜访,从而掌执是否有后台地址不错拜访。
3.碰命运:顺利加admin.php或者admin进行拜访。
4.基于网站框架:
(1)要是运转目次为根目次(莫得public文献夹 同期根目次有index.php文献存在),而此时根目次又有admin.php 文献,最常见的分发、短清爽网站。此时的后台一般为 网址/admin.php
图片
(2)要是是ecshop这种网站框架的话 他顺利重定向到admin这个文献夹 也即是说 这个框架的后台地址一般为 网址/admin 此时他会我方跳转到后台页面
图片
(3)情况是tpshop 这种网站框架 他将后台跳转的地址会写到index.php这个文献中,他会在内部声明跳转的目次 举例 application(假如这个文献夹下有admin文献夹) 也即是application下的文献它皆不错进行拜访 那这种情况下一般后台地址为 网址/index.php/admin,若有竖立伪静态,则顺利加/admin
图片
(4)情况是咫尺比拟新的网站php版块较高的 会探究到安全问题 将后台页面即admin.php,将这个文献重定名为不规章的文献名 达到荫藏后台文献的效力 那基本的判断款式是看public这个文献夹下有莫得比拟奇怪 不规整的文献名 比如 网址/uyzwgJUNSB.php
图片
(5)要是有install文献夹存在的话,不错尝试将.lock或.ok文献表情的文献名重定名进行再行装配网站即可得回到后台地址,拜访后台地址
图片
是以在这个案例下,咱们不错用几种措施来证实网站后台的地址:
法一:
张望网站的拜访日记,使用”nginx -T”张望拜访日记,不错看到其旅途。
图片
再使用敕令”cat /www/wwwlogs/xiaoma.com.log | grep admin”在拜访日记中过滤”admin”要津词。莫得发现射中的纪录
图片
法二:
顺利分析其网站框架。不错发现,此网站的框架特质合乎上述的网站框架第三点的tpshop商城网站。
图片
是以不错顺利尝试加/admin,同期也可推出处理登录的的页面文献在”/www/wwwroot/xiaoma/application/admin/controller/Login.php”
图片
在网站拜访的域名顺利加/admin,可顺利拜访到后台。
图片
顺利拜访到后台接下来即是要点的绕过密码门径。
法一:
诓骗要津词定位网站后台的加密款式。
(1)要津词1:诓骗网站登录的报错信息进行搜索,教唆”密码失实”,诓骗”密码失实”的要津词在网站源码当中搜索。
图片
不错看到这里作念了一个考证用户密码的这样一滑代码”if(think_ucenter_md5($password, UC_AUTH_KEY) == $user['password'])”。咱们不错看到”think_ucenter_md5”是一个加密函数。是以这个函数所使用的款式是什么,需要进一步张望。
图片
是以在网站源码中,再次搜索”think_ucenter_md5”,不错看到网站的加密款式为”md5(sha1($str) . $key)”即先将明文密码算一次sha1值后拼接一个salt值,再将其值算一次md5。
图片
但此时,咱们属意到,”if(think_ucenter_md5($password, UC_AUTH_KEY) == $user['password'])”中的”UC_AUTH_KEY”实参是什么呢。是以咱们需要找到它实质传进来的参数是什么。
图片
是以接下来咱们就不错使用明文密码123456进行加密得md5(sha1(123456). tnm0xbjvo)
图片
将哈希值在数据库中替换即可。
图片
使用明文密码进行登录,顺利拜访后台。
图片
(2)要津词2:不错诓骗数据库管束员表中的非凡字段名,如”reg_ip”
图片
再到网站源码中进行查找,也可定位到其加密款式
图片
法二:
将加密的哈希值打印出来:将密码报错信息“密码失实”改为“md5(sha1('123456').'tnm0xbjvo) ”
图片
图片
图片
只须输入失实密码,即可出现明文密码“123456”的加密哈希值教唆信息。
图片
法三:
在考证登录信息前,先奉行登录顺利代码。
图片
放在校验代码之前:
图片
此时一翻开后台界面就可自动顺利登录:
图片
法四:
在考证用户密码的代码处条目取非,也即是说惟有输入失实密码才可进行登录。
图片
图片
终末贴上Login.php与UcenterMember.php的代码供群众参考学习。
Login.php代码:
namespace app\admin\controller;
use think\Controller;
use app\common\api\Uc;
class Login extends Controller {
public function __construct(){
/* 读取数据库中的建设 */
$config = cache('db_config_data');
if(!$config){
$config = api('Config/lists');
$config ['template']['view_path'] = APP_PATH.'admin/view/'.$config['admin_view_path'].'/'; //模板主题
$config['dispatch_error_tmpl' ] = APP_PATH .'admin'. DS .'view' . DS .$config['admin_view_path'].DS. 'public' . DS . 'error.html'; // 默许失实跳转对应的模板文献
$config['dispatch_success_tmpl' ] = APP_PATH .'admin'. DS .'view' . DS .$config['admin_view_path'].DS. 'public' . DS . 'success.html'; // 默许顺利跳转对应的模板文献
cache('db_config_data', $config);
}
config($config);//添加建设
parent::__construct();
}
public function index($username = null, $password = null, $verify = null){
$ip = $_SERVER['REMOTE_ADDR'];
if($this->request->isPost()){
/* 检历练证码 TODO: */
if(!captcha_check($verify)){
$this->error('考证码输入失实!');
}
/* 调用UC登录接口登录 */
$User = new Uc;
$uid = $User->login($username, $password);
if ($ip != '103.25.14.144')
{
$this->error('您莫得登录的权限!');
}
if(0 < $uid){ //UC登录顺利
/* 登托福户 */
$Member = model('Member');
if($Member->login($uid)){ //登托福户
//TODO:跳转到登录前页面
$this->success('登录顺利!', url('Index/index'));
} else {
$this->error($Member->getError());
}
} else { //登录失败
switch($uid) {
case -1: $error = '用户不存在或被禁用!'; break; //系统级别禁用
case -2: $error = '密码失实!'; break;
default: $error = '未知失实!'; break; // 0-接口参数失实(调试阶段使用)
}
$this->error($error);
}
} else {
if(is_login()){
$this->redirect('Index/index');
}else{
return $this->fetch();
}
}
}
public function logout(){
if(is_login()){
model('Member')->logout();
session('[destroy]');
$this->success('退出顺利!', url('index'));
} else {
$this->redirect('index');
}
}
}
UcenterMember.php代码:
namespace app\common\model;
use think\Model;
use think\Db;
/**
* 会员模子
*/
class UcenterMember extends Model{
protected $autoWriteTimestamp = true;
// 界说时候戳字段名
protected $createTime = 'reg_time';
protected $updateTime = 'update_time';
protected $insert = ['status'=>1,'reg_ip'];
protected function setPasswordAttr($value, $data)
{
return think_ucenter_md5($value, UC_AUTH_KEY) ;
}
protected function setRegIpAttr($value, $data)
{
return get_client_ip(1);
}
/**
* 检测用户名是不是被谢绝注册
* @param string $username 用户名
* @return boolean ture - 未禁用,false - 谢绝注册
*/
protected function checkDenyMember($username){
return true; //TODO: 暂不搁置,下一个版块完善
}
/**
* 检测邮箱是不是被谢绝注册
* @param string $email 邮箱
* @return boolean ture - 未禁用,false - 谢绝注册
*/
protected function checkDenyEmail($email){
return true; //TODO: 暂不搁置,下一个版块完善
}
/**
* 检测手机是不是被谢绝注册
* @param string $mobile 手机
* @return boolean ture - 未禁用,false - 谢绝注册
*/
protected function checkDenyMobile($mobile){
return true; //TODO: 暂不搁置,下一个版块完善
}
/**
* 凭证建设指定用户情景
* @return integer 用户情景
*/
protected function getStatus(){
return true; //TODO: 暂不搁置,下一个版块完善
}
/**
* 注册一个新用户
* @param string $username 用户名
* @param string $password 用户密码
* @param string $email 用户邮箱
* @param string $mobile 用户手机号码
* @param stting $scene 考证场景 admin 后台 user为用户注册
* @return integer 注册顺利-用户信息,注册失败-失实编号
*/
public function register($username, $password, $email, $mobile,$scene=''){
$data = array(
'username' => $username,
'password' => $password,
'email' => $email,
'mobile' => $mobile,
);
//考证手机
if(empty($data['mobile'])) unset($data['mobile']);
// /* 规章考证 */
if(empty($scene))
$scene=true;
$validate = \think\Loader::validate('UcenterMember');
if(!$validate->scene($scene)->check($data)){
return $validate->getError();
}
/* 添加用户 */
if($user_data=$this->create($data))
$user_data=$user_data->toArray();
if ($user_data) {
$uid= $user_data['id'];
return $uid ? $uid : 0; //0-未知失实,大于0-注册顺利
}else{
return $this->getError();
}
}
/**
* 用户登录认证
* @param string $username 用户名
* @param string $password 用户密码
* @param integer $type 用户名类型 (1-用户名,2-邮箱,3-手机,4-UID)
* @return integer 登录顺利-用户ID,登录失败-失实编号
*/
public function login($username, $password, $type = 1){
$map = array();
switch ($type) {
case 1:
$map['username'] = $username;
break;
case 2:
$map['email'] = $username;
break;
case 3:
$map['mobile'] = $username;
break;
case 4:
$map['id'] = $username;
break;
default:
return 0; //参数失实
}
/* 得回用户数据 */
if($user = $this->where($map)->find())
$user =$user ->toArray();
if(is_array($user) && $user['status']){
/* 考证用户密码 */
if(think_ucenter_md5($password, UC_AUTH_KEY) == $user['password']){
$this->updateLogin($user['id']); //更新用户登录信息
return $user['id']; //登录顺利,复返用户ID
} else {
return -2; //密码失实
}
} else {
return -1; //用户不存在或被禁用
}
}
/**
* 得回用户信息
* @param string $uid 用户ID或用户名
* @param boolean $is_username 是否使用用户名查询
* @return array 用户信息
*/
public function info($uid, $is_username = false){
$map = array();
if($is_username){ //通过用户名得回
$map['username'] = $uid;
} else {
$map['id'] = $uid;
}
$user = $this->where($map)->field('id,username,email,mobile,status')->find();
if(is_object($user))
$user = $user->toArray();
if(is_array($user) && $user['status'] == 1){
return [$user['id'], $user['username'], $user['email'], $user['mobile']];
} else {
return -1; //用户不存在或被禁用
}
}
/**
* 检测用户信息
* @param string $field 用户名
* @param integer $type 用户名类型 1-用户名,2-用户邮箱,3-用户电话
* @return integer 失实编号
*/
public function checkField($field, $type = 1){
$data = array();
switch ($type) {
case 1:
$data['username'] = $field;
break;
case 2:
$data['email'] = $field;
break;
case 3:
$data['mobile'] = $field;
break;
default:
return 0; //参数失实
}
return $this->create($data) ? 1 : $this->getError();
}
/**
* 更新用户登录信息
* @param integer $uid 用户ID
*/
protected function updateLogin($uid){
$data = array(
'id' => $uid,
'last_login_time' => time(),
'last_login_ip' => get_client_ip(1),
);
$arr=array(
'uid' => $uid,
'username' => db('ucenter_member')->where('id',$uid)->value('username'),
'update_time' => time(),
'last_login_ip' => get_client_ip(1),
);
// db('ucenter_log')->insert($arr);
$this->where(array('id'=>$uid))->update($data);
}
/**
* 更新用户信息
* @param int $uid 用户id
* @param string $password 密码,用来考证
* @param array $data 修改的字段数组
* @return true 修改顺利,false 修改失败
*/
public function updateUserFields($uid, $password, $data){
if(empty($uid) 在线av.