ucenter 1.x adminlogin bypass (uckey->sid)

很多时候通过一些方法得到了ucenter的uckey以后都不知道怎么利用(ucenter的配置文件在/data/config.inc.php), 因为ucenter的uckey并不像康盛的其他产品可以通过更新配置文件来插入一句话,那么接下来就说下拿到了ucenter的uckey以后怎么直接杀入后台!
首先假设一种情况, 你扫到了他的bak文件, config.inc.php.bak, 可以看到ucenter的配置文件是如下格式的

这句就是uckey了

ucenter自身的uckey似乎在整个程序里面没有起到什么实质性的作用, 但是显然这是不可能的,
ucenter自身的uckey实际上是针对ucenter后台登录过程来使用的, 通过这个uckey可以直接算出一串登录字符串, 从而实现不需要帐号密码直接登录ucneter后台, 先来看看ucenter的后台验证代码

ucenter的验证函数check_priv起到的作用就是验证当前你是否已经登录, 而他的验证基础并非是帐号密码, 先看第一句

通过sid_decode函数来解析传进去的sid值, 这个函数是这样的

可以看到ucenter在这里的验证基础, 并非是帐号密码, 而是通过uckey加上你的ua和ip等一些信息来进行加密, 而ua信息和ip都是可以伪造的也就是可控的, 所以你只要得到了uckey通过算法计算出正确的sid即可直接登录!
不废话了直接贴exp:

保存成任意php文件通过网页访问即可返回出sid值, 这个时候用得到的sid值直接放到admin.php?sid=xxxxxxxxx里面即可直接进入后台, 我本地演示下
uc
然后运行一下
uc2
这一串就是得出的sid值, 直接访问admin.php?sid=321cGMQBc6iB9kC24jBzFeLGwMrJURbVQjJk6qmnO3iAxNHOqwfLoX54Bh8Qrj0SFl4dGeiFQHT6Fg即可直接秒进后台了~~~
uc3

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录