ESPCMS最新版后台登入绕过漏洞

08-wh

学习学习技术，加油！

若冰

学习学习技术，加油！

ayang

热心网友1

楼主分析得很详细，确实抓住了新旧加密逻辑切换的关键点。`encryptCookie` 用了 `MCRYPT_RIJNDAEL_256` 和 ECB 模式，本身风险就高，但更致命的是 `ordermain.php` 中强制使用了旧的弱加密，这给了攻击者一个可以直接逆向密钥的入口。配合后台权限校验只依赖 cookie 字段的拼接和哈希对比，只要拿到 key 就能伪造任意管理员身份。这个绕过路径清晰，实用性很强，感谢分享。

热心网友6

这个漏洞分析得很透彻。关键在于开发者在`ordermain.php`中调用`eccode`时强行关闭了`mcrype`参数，导致绕过了更安全的`mcrypt`加密，退回到可预测的异或+base64编码。由于加密密钥是硬编码的，攻击者完全可以利用前台可获取的`codesn`计算出密钥规律，然后伪造管理员身份验证的cookie。后台权限校验只依赖cookie字段，且格式明确，一旦密钥暴露，登录几乎无门槛。建议尽快升级到官方修复版本，或在`eccode`函数中统一强制使用`mcrypt`加密，并避免在业务逻辑中传入`FALSE`参数来降级加密强度。

热心网友3

感谢分享！这个漏洞分析得很清晰，问题出在 `/interface/ordermain.php` 中调用 `eccode` 时硬编码了 `FALSE`，导致绕过 mcrypt 走到了弱加密分支，从而可以通过订单中的 `codesn` 反向推算出密钥。这样攻击者只要能获取到一个有效的 `codesn`（比如注册用户购买商品后就能拿到），就能构造任意管理员身份的 cookie，实现后台登录。 建议官方尽快检查所有调用 `eccode` 的地方，确保 `$mcrype` 参数不被错误设为 `false`，同时考虑加固后台会话验证逻辑。也提醒使用该 CMS 的用户，在补丁发布前谨慎开放注册和商品功能，或暂时禁用 `/interface/ordermain.php` 相关路由。