WDCP一处小地方不严谨引发的一系列安全隐患

### 简要描述： 求打雷求打雷 貌似WDCP的用户好多呀，然后某宝上面用wdcp做控制面板开空间的也好多... WDCP一处小地方不严谨，引发成功登录和登录失败的IP均可以被伪造、“登录锁定”这个功能被绕过、登录记录前台无法查看、奇怪的生物混进来以及各种xss ### 详细说明： 本漏洞是基于 [WooYun: WDCP后台的登录IP可被伪造](http://www.wooyun.org/bugs/wooyun-2015-098352) 的再深入挖掘 ``` 系统信息 系统名称：WDlinux Control Panel (简称wdCP) (WD订阅) 当前版本: wdcp_v2.5.11(20140926) 最新 wdcp_v2.5.11(20140926) 更新日志 操作系统：Linux 2.6.18-308.el5 ``` 获取用户ip的时候 使用且仅使X-Forwarded-For的信息 详细说明见漏洞证明 ### 漏洞证明： 0x01 [WooYun: WDCP后台的登录IP可被伪造](http://www.wooyun.org/bugs/wooyun-2015-098352) 补充说明一下，成功登录和登录失败的IP均可以被伪造 0x02 伪造了IP之后，绕过了后台“登录锁定”这个功能 ``` 登录锁定 密码错误三次将锁定半小时,即半小时内同一个IP不能登录 ``` [<img src="https://images.seebug.org/upload/201502/28135344acb738176b5780aecae98a722d71cfa7.jpg" alt="QQ截图20150228135428.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/28135344acb738176b5780aecae98a722d71cfa7.jpg) 开启“登录锁定”这个功能 [<img src="https://images.seebug.org/upload/201502/281354273c16d4e99fbab9f7c1077a8afa23744b.jpg" alt="QQ截图20150228135517.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/281354273c16d4e99fbab9f7c1077a8afa23744b.jpg) 输入一个IP，然后登录，当然啦登录时候填写的密码是错误的 [<img src="https://images.seebug.org/upload/201502/281355273d2d05cf5d978df98224ce2c944882a4.jpg" alt="QQ截图20150228135352.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/281355273d2d05cf5d978df98224ce2c944882a4.jpg) [<img src="https://images.seebug.org/upload/201502/281355423b3457a411fb377e222a427c06b5a522.jpg" alt="QQ截图20150228135254.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/281355423b3457a411fb377e222a427c06b5a522.jpg) 然后密码错误三次将锁定半小时,即半小时内同一个IP不能登录，打不开登录页了 别担心，再重复上面一步，改下IP就么么哒满血复活了 [<img src="https://images.seebug.org/upload/201502/28135818ef0947dfdc6262416c942325cc1e5538.jpg" alt="QQ截图20150228135907.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/28135818ef0947dfdc6262416c942325cc1e5538.jpg) [<img src="https://images.seebug.org/upload/201502/28135834cf41df991d533b6408cafe3ccab68509.jpg" alt="QQ截图20150228135318.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/28135834cf41df991d533b6408cafe3ccab68509.jpg) 好了，又可以继续登录了 ``` 系统登录日志 ID 用户名 密码 IP 时间 状态 280 admin ******** 1.1.1.3 2015-02-28 13:52 失败 279 admin ******** 1.1.1.3 2015-02-28 13:52 失败 278 admin ******** 1.1.1.2 2015-02-28 13:51 失败 277 admin ******** 1.1.1.2 2015-02-28 13:51 失败 276 admin ******** 1.1.1.2 2015-02-28 13:51 失败 275 admin ******** 1.1.1.1 2015-02-28 13:51 失败 274 admin ******** 1.1.1.1 2015-02-28 13:51 失败 273 admin ******** 1.1.1.1 2015-02-28 13:51 失败 ``` [<img src="https://images.seebug.org/upload/201502/28135936c75a779a4cef277ec41f38fcb5a2e783.jpg" alt="QQ截图20150228140004.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/28135936c75a779a4cef277ec41f38fcb5a2e783.jpg) 0x03 轻松隐藏历史登录IP直接显示，即未授权用户可以阻止普通用户、正常用户、管理员查看历史登录IP 为了更好地演示，我先刷一遍登录日志，我绝对不是炫耀我IP好看而这样做的！！ ``` 系统登录日志 ID 用户名 密码 IP 时间 状态 329 admin ****** 183.18.1*****8 2015-02-28 14:11 成功 328 admin ****** 183.18.1*****8 2015-02-28 14:11 成功 327 admin ****** 183.18.1*****8 2015-02-28 14:11 成功 326 admin ****** 183.18.1*****8 2015-02-28 14:11 成功 325 admin ****** 183.18.1*****8 2015-02-28 14:11 成功 324 admin ****** 183.18.1*****8 2015-02-28 14:11 成功 323 admin ****** 183.18.1*****8 2015-02-28 14:11 成功 322 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 321 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 320 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 319 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 318 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 317 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 316 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 315 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 314 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 313 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 312 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 311 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 310 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 309 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 308 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 307 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 306 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 305 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 304 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 303 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 302 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 301 admin ****** 183.18.1*****8 2015-02-28 14:10 成功 300 admin ****** 183.18.1*****8 2015-02-28 14:09 成功 注:只显示最近30条记录 ``` [<img src="https://images.seebug.org/upload/201502/281414437f512556cbf582a0a2b833d83d15b8e5.jpg" alt="QQ截图20150228141400.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/281414437f512556cbf582a0a2b833d83d15b8e5.jpg) [<img src="https://images.seebug.org/upload/201502/2814150877837b5ea71503559b082db7a797c509.jpg" alt="QQ截图20150228141421.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/2814150877837b5ea71503559b082db7a797c509.jpg) 在IP填上这样的代码 ``` <script>alert(1)</sc ``` [<img src="https://images.seebug.org/upload/201502/281417079039f891d173b73a420dd6c806992cbf.jpg" alt="QQ截图20150228141726.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/281417079039f891d173b73a420dd6c806992cbf.jpg) 然后登录，无论成功于否，IP都不见了 （尼玛噢，我辛辛苦苦刷得这么好看的IP一下子不见了） [<img src="https://images.seebug.org/upload/201502/281419369d14f50210d67d8053281ee6a0388197.jpg" alt="QQ截图20150228141914.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/281419369d14f50210d67d8053281ee6a0388197.jpg) [<img src="https://images.seebug.org/upload/201502/2814200080af54d595a2c3d1bbee5a1f95ddbaba.jpg" alt="QQ截图20150228141959.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/2814200080af54d595a2c3d1bbee5a1f95ddbaba.jpg) 0x05 莫好奇，好奇被雷x 好吧 我又刷一次IP，刷满满的 然后，在IP里面填入 ``` <c/onclick=alert()>c ``` [<img src="https://images.seebug.org/upload/201502/281422467fc0d35835317d99166500f85e749303.jpg" alt="QQ截图20150228142330.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/281422467fc0d35835317d99166500f85e749303.jpg) 然后到前台登录一下（成功失败都记录IP的），我们在后台，查看IP 咦，这是什么鬼？怎么长得这么奇特 [<img src="https://images.seebug.org/upload/201502/2814260138d2c7e9f66a73e5dfe52bf76c802eb8.jpg" alt="QQ截图20150228142522.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/2814260138d2c7e9f66a73e5dfe52bf76c802eb8.jpg) 长得好独特的IP啊，让我们用树枝戳一下它 [<img src="https://images.seebug.org/upload/201502/281426460e7d87e6a6e424a285dfb17aa71d7f74.jpg" alt="QQ截图20150228142544.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/281426460e7d87e6a6e424a285dfb17aa71d7f74.jpg) [<img src="https://images.seebug.org/upload/201502/281427177a4a8761f3f389445b790772d53629b3.jpg" alt="QQ截图20150228142608.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/281427177a4a8761f3f389445b790772d53629b3.jpg) 雷到了吗。。打雷的吗。。。求打雷啊啊 0x06 毕竟不是所有人看到奇特的生物都会拿树枝戳一下它，那就最后一个吧，写完我也该洗洗睡了 ``` <svg/onload=alert()> ``` [<img src="https://images.seebug.org/upload/201502/281429382d67255b84e9dcff4659a32b6685650c.jpg" alt="QQ截图20150228143027.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/281429382d67255b84e9dcff4659a32b6685650c.jpg) [<img src="https://images.seebug.org/upload/201502/28143126b1968a34fd34aa0fe12832b3fd5d5e9e.jpg" alt="QQ截图20150228143130.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/28143126b1968a34fd34aa0fe12832b3fd5d5e9e.jpg) 还是原来的窗口,还是熟悉的框框 [<img src="https://images.seebug.org/upload/201502/281432040936192f9a87206e5726c9e7b70dcd24.jpg" alt="QQ截图20150228143204.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/281432040936192f9a87206e5726c9e7b70dcd24.jpg)