案例配景:
在DZ讲究的劳动器镜像或是在DBW当中的劳动器检材当中,不息遇到咱们拿到的劳动器需要咱们进行网站重构,网站重构的重心和难点是网站后台的重构,因为后台的可视化页面搜检后台数据,便于分析或是解题。是以此时咱们需要得回到网站后台的地址与网站后台的账号和密码,怎样细目并得回它们呢?还有网站后台的密码绕过是否有多种花样?这期咱们从DZ讲究的一台劳动器该怎样处分?咱们将得回一台劳动器中的PHP网站后台地址,账号密码到绕事后台密码的多种花样进行老师,带你学会PHP网站后台密码绕过,包括怎样对劳动器的网站进行重构的醒目经过。
时间旨趣:
网站后台账号的登录考证逻辑会体目下网站源码当中,网站源码中处理网站后台的代码作用是它将会去考证在网站后台所输入的账号和密码是否匹配,若是账号或密码有一项不匹配将会复返写在源码中的特别信息或阿谀。若是账号和密码两者信息一致,则无意到手登录网站后台。
绕过旨趣:
咱们通过期间旨趣不错知说念,网站后台的登录逻辑就体目下网站源码当中,是以咱们通过分析网站的源代码就不错知说念网站后台密码的加密花样。绕过的花样不错是:1.看懂代码知说念其登录逻辑,修改登录逻辑。2.以交流的加密花样对明文密码进行加密,将其加密完成后的哈希值替换数据库当中的哈希值,再用我方开导的明文密码进行加密即可。
快速定位PHP网站后台加密花样:
咱们在网站源码当中怎样快速定位网站后台的加密花样在那儿呢?大约有两种念念路:1.使用后台报错的辅导信息在网站源码当中进行定位。2.使用网站的后台数据库中管制员表的特等字段名当作关键字进行搜索,因为此时咱们的网站源码中确信会体现出后台插入到数据库当中的代码动作,相通“insert into”或是“update”。
有了上述的表面常识后,若是是外行,忽视先看这两篇著述,了解完劳动器建站基础常识后,接下来咱们插足实操循序。
1.对DZ讲究的劳动器先进行仿真。
对劳动器镜像仿真不错使用:1.FTK image手工挂载到腹地,再使用Vmware添加物理磁盘进行手工仿真再进行手工绕密。2.使用取证厂商的仿真软件径直进行仿真并绕密。平正是不需要手工挂载,手工绕密,方便高效。
这里袭取的仿真器具是好意思亚的电子数据仿真系统:
图片
仿真系统将自动充值Linux系统密码为123456,在这里使用root账户对其进行登录。
图片
在这里为了使操作遵循更高效,咱们使用Finalshell末端阿谀器具对其进行阿谀。在阿谀前,咱们需要得回腹地的IP地址以及ssh所对应的端口,区分使用敕令”ip a”、”netstat -lntp”进行得回,若是阿谀不上,这里则需要磋议现时主机能否ping通杜撰机中的劳动器、ssh的成就权限、防火墙是否放行ssh端口等。
图片
从上图中,咱们不错得到的ip地址是192.168.252.151,“/24”为子网掩码,无须管他。得到的ssh端口为27692。使用Finalshell对其进行阿谀:新建阿谀,填写好IP地址与端口。
图片
阿谀到手后,就不错对其进行操作了。Finalshell的作用相配于将Vmware的阿谁界面搬到Finalshell来,平正是不错解放复制粘贴,也不错对Linux文献夹可视化,方便对文献进行操作,上传下载。如下图。
图片
在拿到劳动器后,咱们要先判断下,这个劳动器所使用的web中间件是什么。咱们不错径直使用netstat -lntp搜检现时劳动器所开启的劳动,但无发现web中间件,若是对web中间件莫得办法的话,不错搜检著述。
图片
是以此时咱们不错用”ps -ef | grep nginx”搜检劳动器进度当中是否有nginx的进度,或是”find / -name nginx.conf”全局查找nginx的成就文献。
图片
不错看到,现时劳动器使用的是nginx的web中间件,一般来说,劳动器需要搭建一个web中间件来给网站提供劳动。这里不错把网站比作成是一棵树,web中间件即是这棵树的泥土,离开了泥土(web中间件),这棵树(网站)将不可存活。是以这个时候咱们需要将nginx的劳动使用敕令”systemctl start nginx”启动。再使用”netstat -lntp”搜检nginx的劳动。
图片
通过上图,不错看到,此时nginx的劳动照旧启动,那怎样搜检欺骗nginx所搭建的网站信息?这时咱们就需要去搜检nginx.conf的成就文献。这个成就文献好比是这棵树(网站)的证明书,有证明这棵树的品种,习性(网站的看望端口及网站的出手目次)。关于nginx的web中间件不错使用敕令“nginx -T”搜检nginx成就文献信息并将其打印出来。
图片
网站看望端口、看望域名、默许文档、出手目次
既然有网站的看望端口及域名,此时咱们就不错将其域名绑定到腹地的hosts文献。位置:
C:\Windows\System32\drivers\etc\hosts 不错使用记事本裁剪之。hosts文献相配于腹地的DNS。
图片
hosts文献绑定的律例是”ip 域名”,”#”号为此条绑定纪录不顺利,是以使用咱们现时的ip地址将其绑定:
192.168.252.151 aowei.shop
图片
绑定完成后,径直在浏览器看望该网站域名可得。因看望的端口为80,为默许看望端口,是以径直看望该域名即可看望首页。
图片
无意平方看望网站页面,除了静态页面,就证明数据库的成就信息是一致的。是以此时咱们需要去找后台地址。网站的后台地址得回循序:
1.网站看望日记:网站的看望日记会纪录通盘看望网站的平庸用户及管制员用户看望的时候点、IP地址、看望的URL。网站的看望日记使用”nginx -T”敕令即可得回。
图片
2.御剑器具扫描:御剑有常见的url的字典,不错使用器具进行快速掌持网站的哪个页面不错看望,从而掌持是否有后台地址不错看望。
3.碰气运:径直加admin.php或者admin进行看望。
4.基于网站框架:
(1)若是出手目次为根目次(莫得public文献夹 同期根目次有index.php文献存在),而此时根目次又有admin.php 文献,最常见的分发、短承接网站。此时的后台一般为 网址/admin.php
图片
(2)若是是ecshop这种网站框架的话 他径直重定向到admin这个文献夹 也即是说 这个框架的后台地址一般为 网址/admin 此时他会我方跳转到后台页面
图片
(3)情况是tpshop 这种网站框架 他将后台跳转的地址会写到index.php这个文献中,他会在内部声明跳转的目次 举例 application(假如这个文献夹下有admin文献夹) 也即是application下的文献它皆不错进行看望 那这种情况下一般后台地址为 网址/index.php/admin,若有开导伪静态,则径直加/admin
图片
(4)情况是目下比拟新的网站php版块较高的 会磋议到安全问题 将后台页面即admin.php,将这个文献重定名为不律例的文献名 达到荫藏后台文献的成果 那基本的判断花样是看public这个文献夹下有莫得比拟奇怪 不规整的文献名 比如 网址/uyzwgJUNSB.php
图片
(5)若是有install文献夹存在的话,不错尝试将.lock或.ok文献表情的文献名重定名进行再行装配网站即可得回到后台地址,看望后台地址
图片
是以在这个案例下,咱们不错用几种循序来说明网站后台的地址:
法一:
搜检网站的看望日记,使用”nginx -T”检寻查望日记,不错看到其旅途。
图片
再使用敕令”cat /www/wwwlogs/xiaoma.com.log | grep admin”在看望日记中过滤”admin”关键词。莫得发现掷中的纪录
图片
法二:
径直分析其网站框架。不错发现,此网站的框架特质稳当上述的网站框架第三点的tpshop商城网站。
图片
是以不错径直尝试加/admin,同期也可推出处理登录的的页面文献在”/www/wwwroot/xiaoma/application/admin/controller/Login.php”
图片
在网站看望的域名径直加/admin,可径直看望到后台。
图片
到手看望到后台接下来即是重心的绕过密码循序。
法一:
欺骗关键词定位网站后台的加密花样。
(1)关键词1:欺骗网站登录的报错信息进行搜索,辅导”密码特别”,欺骗”密码特别”的关键词在网站源码当中搜索。
图片
不错看到这里作念了一个考证用户密码的这样一滑代码”if(think_ucenter_md5($password, UC_AUTH_KEY) == $user['password'])”。咱们不错看到”think_ucenter_md5”是一个加密函数。是以这个函数所使用的花样是什么,需要进一步搜检。
图片
是以在网站源码中,再次搜索”think_ucenter_md5”,不错看到网站的加密花样为”md5(sha1($str) . $key)”即先将明文密码算一次sha1值后拼接一个salt值,再将其值算一次md5。
图片
但此时,咱们钟情到,”if(think_ucenter_md5($password, UC_AUTH_KEY) == $user['password'])”中的”UC_AUTH_KEY”实参是什么呢。是以咱们需要找到它现实传进来的参数是什么。
图片
是以接下来咱们就不错使用明文密码123456进行加密得md5(sha1(123456). tnm0xbjvo)
图片
将哈希值在数据库中替换即可。
图片
使用明文密码进行登录,到手看望后台。
图片
(2)关键词2:不错欺骗数据库管制员表中的特等字段名,如”reg_ip”
图片
再到网站源码中进行查找,也可定位到其加密花样
图片
法二:
将加密的哈希值打印出来:将密码报错信息“密码特别”改为“md5(sha1('123456').'tnm0xbjvo) ”
图片
图片
图片
只须输入特别密码,即可出现明文密码“123456”的加密哈希值辅导信息。
图片
法三:
在考证登录信息前,先实行登录到手代码。
图片
放在校验代码之前:
图片
此时一翻开后台界面就可自动到手登录:
图片
法四:
在考证用户密码的代码处要求取非,也即是说惟有输入特别密码才可进行登录。
图片
图片
终末贴上Login.php与UcenterMember.php的代码供人人参考学习。
Login.php代码:
namespace app\admin\controller;
use think\Controller;
use app\common\api\Uc;
class Login extends Controller {
public function __construct(){
/* 读取数据库中的成就 */
$config = cache('db_config_data');
if(!$config){
$config = api('Config/lists');
$config ['template']['view_path'] = APP_PATH.'admin/view/'.$config['admin_view_path'].'/'; //模板主题
$config['dispatch_error_tmpl' ] = APP_PATH .'admin'. DS .'view' . DS .$config['admin_view_path'].DS. 'public' . DS . 'error.html'; // 默许特别跳转对应的模板文献
$config['dispatch_success_tmpl' ] = APP_PATH .'admin'. DS .'view' . DS .$config['admin_view_path'].DS. 'public' . DS . 'success.html'; // 默许到手跳转对应的模板文献
cache('db_config_data', $config);
}
config($config);//添加成就
parent::__construct();
}
public function index($username = null, $password = null, $verify = null){
$ip = $_SERVER['REMOTE_ADDR'];
if($this->request->isPost()){
/* 检历练证码 TODO: */
if(!captcha_check($verify)){
$this->error('考证码输入特别!');
}
/* 调用UC登录接口登录 */
$User = new Uc;
$uid = $User->login($username, $password);
if ($ip != '103.25.14.144')
{
$this->error('您莫得登录的权限!');
}
if(0 < $uid){ //UC登录到手
/* 登托付户 */
$Member = model('Member');
if($Member->login($uid)){ //登托付户
//TODO:跳转到登录前页面
$this->success('登录到手!', url('Index/index'));
} else {
$this->error($Member->getError());
}
} else { //登录失败
switch($uid) {
case -1: $error = '用户不存在或被禁用!'; break; //系统级别禁用
case -2: $error = '密码特别!'; break;
default: $error = '未知特别!'; break; // 0-接口参数特别(调试阶段使用)
}
$this->error($error);
}
} else {
if(is_login()){
$this->redirect('Index/index');
}else{
return $this->fetch();
}
}
}
public function logout(){
if(is_login()){
model('Member')->logout();
session('[destroy]');
$this->success('退出到手!', url('index'));
} else {
$this->redirect('index');
}
}
}
UcenterMember.php代码:
namespace app\common\model;
use think\Model;
use think\Db;
/**
* 会员模子
*/
class UcenterMember extends Model{
protected $autoWriteTimestamp = true;
// 界说时候戳字段名
protected $createTime = 'reg_time';
protected $updateTime = 'update_time';
protected $insert = ['status'=>1,'reg_ip'];
protected function setPasswordAttr($value, $data)
{
return think_ucenter_md5($value, UC_AUTH_KEY) ;
}
protected function setRegIpAttr($value, $data)
{
return get_client_ip(1);
}
/**
* 检测用户名是不是被不容注册
* @param string $username 用户名
* @return boolean ture - 未禁用,false - 不容注册
*/
protected function checkDenyMember($username){
return true; //TODO: 暂不结果,下一个版块完善
}
/**
* 检测邮箱是不是被不容注册
* @param string $email 邮箱
* @return boolean ture - 未禁用,false - 不容注册
*/
protected function checkDenyEmail($email){
return true; //TODO: 暂不结果,下一个版块完善
}
/**
* 检测手机是不是被不容注册
* @param string $mobile 手机
* @return boolean ture - 未禁用,false - 不容注册
*/
protected function checkDenyMobile($mobile){
return true; //TODO: 暂不结果,下一个版块完善
}
/**
* 凭据成就指定用户情景
* @return integer 用户情景
*/
protected function getStatus(){
return true; //TODO: 暂不结果,下一个版块完善
}
/**
* 注册一个新用户
* @param string $username 用户名
* @param string $password 用户密码
* @param string $email 用户邮箱
* @param string $mobile 用户手机号码
* @param stting $scene 考证场景 admin 后台 user为用户注册
* @return integer 注册到手-用户信息,注册失败-特别编号
*/
public function register($username, $password, $email, $mobile,$scene=''){
$data = array(
'username' => $username,
'password' => $password,
'email' => $email,
'mobile' => $mobile,
);
//考证手机
if(empty($data['mobile'])) unset($data['mobile']);
// /* 律例考证 */
if(empty($scene))
$scene=true;
$validate = \think\Loader::validate('UcenterMember');
if(!$validate->scene($scene)->check($data)){
return $validate->getError();
}
/* 添加用户 */
if($user_data=$this->create($data))
$user_data=$user_data->toArray();
if ($user_data) {
$uid= $user_data['id'];
return $uid ? $uid : 0; //0-未知特别,大于0-注册到手
}else{
return $this->getError();
}
}
/**
* 用户登录认证
* @param string $username 用户名
* @param string $password 用户密码
* @param integer $type 用户名类型 (1-用户名,2-邮箱,3-手机,4-UID)
* @return integer 登录到手-用户ID,登录失败-特别编号
*/
public function login($username, $password, $type = 1){
$map = array();
switch ($type) {
case 1:
$map['username'] = $username;
break;
case 2:
$map['email'] = $username;
break;
case 3:
$map['mobile'] = $username;
break;
case 4:
$map['id'] = $username;
break;
default:
return 0; //参数特别
}
/* 得回用户数据 */
if($user = $this->where($map)->find())
$user =$user ->toArray();
if(is_array($user) && $user['status']){
/* 考证用户密码 */
if(think_ucenter_md5($password, UC_AUTH_KEY) == $user['password']){
$this->updateLogin($user['id']); //更新用户登录信息
return $user['id']; //登录到手,复返用户ID
} else {
return -2; //密码特别
}
} else {
return -1; //用户不存在或被禁用
}
}
/**
* 得回用户信息
* @param string $uid 用户ID或用户名
* @param boolean $is_username 是否使用用户名查询
* @return array 用户信息
*/
public function info($uid, $is_username = false){
$map = array();
if($is_username){ //通过用户名得回
$map['username'] = $uid;
} else {
$map['id'] = $uid;
}
$user = $this->where($map)->field('id,username,email,mobile,status')->find();
if(is_object($user))
$user = $user->toArray();
if(is_array($user) && $user['status'] == 1){
return [$user['id'], $user['username'], $user['email'], $user['mobile']];
} else {
return -1; //用户不存在或被禁用
}
}
/**
* 检测用户信息
* @param string $field 用户名
* @param integer $type 用户名类型 1-用户名,2-用户邮箱,3-用户电话
* @return integer 特别编号
*/
public function checkField($field, $type = 1){
$data = array();
switch ($type) {
case 1:
$data['username'] = $field;
break;
case 2:
$data['email'] = $field;
break;
case 3:
$data['mobile'] = $field;
break;
default:
return 0; //参数特别
}
return $this->create($data) ? 1 : $this->getError();
}
/**
* 更新用户登录信息
* @param integer $uid 用户ID
*/
protected function updateLogin($uid){
$data = array(
'id' => $uid,
'last_login_time' => time(),
'last_login_ip' => get_client_ip(1),
);
$arr=array(
'uid' => $uid,
'username' => db('ucenter_member')->where('id',$uid)->value('username'),
'update_time' => time(),
'last_login_ip' => get_client_ip(1),
);
// db('ucenter_log')->insert($arr);
$this->where(array('id'=>$uid))->update($data);
}
/**
* 更新用户信息
* @param int $uid 用户id
* @param string $password 密码,用来考证
* @param array $data 修改的字段数组
* @return true 修改到手,false 修改失败
*/
public function updateUserFields($uid, $password, $data){
if(empty($uid)