V5.7_UTF8_SP1、SP2---任意前台用户登录（cookie伪造）

漏洞触发点在include/memberlogin.class.php中的MemberLogin类中的登录校验函数

可以看到M_ID参数是由GetNum(GetCookie("DedeUserID"))函数赋值的。之后通过SQL语句Select * From '#@__member' where mid='{$this->M_ID}'来判断用户的身份。

因此我们可以修改M_ID参数来尝试是否可以进行越权。跟进看：

根据传入的字符串，找到cookie里相应的值，但这里对$_COOKIE[$key.'__ckMd5']进行了校验，使用的$ cfg_cookie_encode是在程序安装时设置的。

所以如果我们不知道这个值，我们是无法破解$key.'__ckMd5'。所以一般情况下，我们是无法破解$key.'__ckMd5'这类值的。

继续跟进GetNum()函数：

对GetCookie()函数返回的$_COOKIE[$key]值进行处理，获取整数值。

正常情况下，程序中的DedeUserID就是当前用户的用户ID。但是如果将其中的DedeUserID和DedeUserID__ckMd5都替换为其他的账户，是否就意味着我们可以以其他的账户登录呢？

那么现在的问题就在于，如何进行伪造呢？我们知道管理员admin的mid是1，但是我们如何得到对应的DedeUserID__ckMd5呢？所以目前的问题转变为我们需要得到1所对应的DedeUserID__ckMd5的。

漏洞利用点：

在用户空间主页：

http://localhost/DedeCMS/member/index.php?uid=001

这里代码根据用户提交的参数uid调用了Getcookie()函数生成了cookie值即相应的$_COOKIE[$key]和$_COOKIE[$key.'__ckMd5']值。

由于GetNum()函数的处理，我们在复现的时候注册攻击账号时应使用001、0001、00001之类的用户名来绕过该函数。

从而达到以管理员的身份登录前台。