ManageWP, InfiniteWP, and CMS Commander

这三个服务有着相同的客户端插件基础代码(目测最初是ManageWp实现，然后另外两个对其进行了调整)，因而它们都有签名绕过漏洞并且会导致远程代码执行。

管理服务器注册一个客户端插件的私钥，用来计算每一条消息的消息认证码，而不是要求用户提供管理员凭证（MAC，我们平时看到它会将其当做硬件的MAC地址，这里是Message Authentication Code）。当一条消息通过使用共享密钥的消息摘要算法后就生成了消息摘要。该MAC随后附在消息后面一起发送出去，接收方收到后用共享秘钥对收到的消息进行计算，生成MAC2，然后和MAC1进行比较。消息摘要用于验证消息的真实性和完整性（学过密码学的同学对此应该都知道），这是一个确保通信安全的好方法，但是这三项服务的客户端插件在实现上的缺陷就导致了严重的漏洞。

一条由helper.class.php认证的传入消息如下所示：

// $signature is the MAC sent with the message  
	// $data is part of the message  
if (md5($data . $this->get_random_signature()) == $signature) {  
// valid message  
	}

字符串转换为数值：

当一个字符串被当作一个数值来取值，其结果和类型如下：

如果该字符串没有包含 '.'，'e' 或 'E' 并且其数字值在整型的范围之内（由 PHP_INT_MAX 所定义），该字符串将被当成integer 来取值。其它所有情况下都被作为 float 来取值。

该字符串的开始部分决定了它的值。如果该字符串以合法的数值开始，则使用该数值。否则其值为 0（零）。合法数值由可选的正负号，后面跟着一个或多个数字（可能有小数点），再跟着可选的指数部分。指数部分由 'e' 或 'E' 后面跟着一个或多个数字构成。

<?php 
	var_dump(0 == "a"); // 0 == 0 -> true 
	var_dump("1" == "01"); // 1 == 1 -> true 
	var_dump("10" == "1e1"); // 10 == 10 -> true 
	var_dump(100 == "1e2"); // 100 == 100 -> true 
	var_dump('abcdefg' == 0); // true  
	var_dump('1abcdef' == 1); // true  
	var_dump('2abcdef' == 2); // true  
	?>

a:4:{s:9:"signature";i:0;s:2:"id";i:100000;s:6:"action";s:16:"execute_php_code";s:6:"params";a:2:{s:8:"username";s:5:"admin";s:4:"code";s:25:"exec('touch /tmp/owned');";}}
这条消息使用整数0作为签名，然后使用插件提供的execute_php_code执行任意的PHP代码。

$signature = 0;  
	// $data is the action concatenated with the message ID  
	$data = 'execute_php_code' . 100000;  
	if (md5($data . $this->get_random_signature()) == $signature) {  
	  // valid message if the output of  
	  // md5() doesn't start with a digit  
	}

这个伪造的例子可能没法直接使用，首先，id的键值需要比之前合法消息的值更大（使用增加的消息ID用于防止重放攻击，今天既有请求伪造，又有重放，这让我想到了CSRF，跨站请求伪造，下面是不是还有中间人攻击呢），其次要有用于匹配签名的整数，这两点要求可以进行暴力破解来突破。

for i from 100,000 to 100,500: 
	  for j from 0 to 9: 
    submit request with id i and signature j

上面的伪代码尝试发送具有很大ID值得虚假消息，并且对每个ID都进行十次单独的数字指纹匹配（前面说到过，对于一个字符串，只要一个数字就可以在比较时进行匹配，这里从0-9是因为每一种情况都能遇到）。

这一缺陷可以通过使用全等运算符[===]和对传入的指纹进行检查来修复。这几个插件服务都通过使用严格的全等运算符进行了修复（php.net的说明：a===b，则a和b值相等，且类型也相等；a==b，在发生类型转换后再判断其值是否相等）。

另外还有一些其他的问题，但是他们还没有采取行动。首先，这一做法是有弱点的（密钥追加到$data，然后进行散列），应该用HMAC（Hash-based Message Authentication Code，以一个密钥和一个消息为输入，生成一个消息摘要作为输出）。其次，仅用于操作的action和消息ID被用于创建签名。这意味着，一个活跃的网络攻击者可以改变消息中的参数而签名依旧是有效的（例如改变execute_php_code消息执行任意代码）。为了进行保护，MAC应该包含整条消息。

（注意，基于MD5的消息摘要是一种后退，可以的话这些插件使用openssl_verify()；***2014-04公布出来的Openssl 1.0.f heartbleed漏洞号称世纪级漏洞***）

WORPIT

Worpit是另一个远程管理服务，但它使用从头开始构建的客户端插件，它同样有强制类型转换漏洞，可以让攻击者以管理员权限登陆。

该插件提了远程管理员登陆的方法，使用仅Woprit传递系统可配置的临时的token值。这款插件会检查请求中提供的token值是否和存储在数据库中的值匹配。

if ( $_GET['token'] != $oWpHelper->getTransient( 'worpit_login_token' ) ) {  
	  die( 'WorpitError: Invalid token' );  
	}

令牌是从一次使用的数据库中删除。这意味着大多数的时候都是在数据库中没有令牌。因此，在调用getTransient（）方法可能返回false。非严格的比较是，这意味着任何“falsey价值，比如字符串0，将被视为一个有效的令牌。一个例子网址以管理员身份登录：

这个token一经使用就会从数据库中删除，这意味着，大多数时候数据库中是没有token的。因此，对getTransient()方法的调用很可能返回false。非严格的比较也用到了，这意味着任何相当于false的值，例如字符串0会被当做一个有效的token，以管理员身份登陆的例子如：http://victim/?worpit_api=1&m=login&token=0

至此，该站点就为攻击者所控制了，他有权限安装恶意插件或修改已有的插件。

这里的修复方案是使用!==并进行其他检查及从数据库进行检索。

结论：

一定要记住检查用户输入的是预期的类型并在安全性很重要的函数中使用进行严格比较，如检查身份验证令牌