phpcms v9 2013-02-01 会员中心注入漏洞分析报告

admin

报告名称：phpcms v9 2013-02-01 会员中心注入漏洞分析报告
漏洞作者：skysheep
1 {1 I$ z7 u: V# I# {6 w+ w分析作者：Seay
/ }' U' X2 n) }( Z. X博客：http://www.cnseay.com/
漏洞分析:
1 J6 I; Z; `& F3 U  漏洞存在于 phpcms\modules\member\index.php 文件account_manage_info函数，其功能是更新会员信息。
& y) v( {, m$ A3 Z6 a
# t4 v2 g6 b+ M7 r9 u1 @
, K* m# ^* U3 l+ T; A& D- z. x' [
) Z: w& {; ]# i! ^$ d2 ppublic function account_manage_info() {  
       if(isset($_POST['dosubmit'])) {  
           //更新用户昵称  
  r* p; ]' v' `! u3 n6 B           $nickname = isset($_POST['nickname']) && trim($_POST['nickname']) ? trim($_POST['nickname']) : '';  
9 }2 |2 g, n% H$ y           if($nickname) {  
              $this->db->update(array('nickname'=>$nickname), array('userid'=>$this->memberinfo['userid']));  
: g, j5 T# Z$ K1 w              if(!isset($cookietime)) {  
                  $get_cookietime = param::get_cookie('cookietime');  
              }  
              $_cookietime = $cookietime ? intval($cookietime) : ($get_cookietime ? $get_cookietime : 0);  
              $cookietime = $_cookietime ? TIME + $_cookietime : 0;  
) s; l- H* V% Z* J0 N              param::set_cookie('_nickname', $nickname, $cookietime);  
, Q1 n9 ~0 X5 T- T# Y" y6 `; u% C6 u           }  
           require_once CACHE_MODEL_PATH.'member_input.class.php';  
+ W8 V: R/ E0 d1 V           require_once CACHE_MODEL_PATH.'member_update.class.php';  
           $member_input = new member_input($this->memberinfo['modelid']);  
8 E/ C0 g$ v- ~# g: G2 L% i: C           $modelinfo = $member_input->get($_POST['info']);  
# r( |8 c4 w# \+ y4 Y* X+ x1 T: F           $this->db->set_model($this->memberinfo['modelid']);  
           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
           if(!empty($membermodelinfo)) {  
! Q: @9 H7 o. z9 k              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
           } else {  
              $modelinfo['userid'] = $this->memberinfo['userid'];  
  ^/ S- Q  I/ N              $this->db->insert($modelinfo);  
  P4 K, ~. ]5 K: Z           }
代码中：$modelinfo = $member_input->get($_POST['info']);取得提交上来的会员模型中的字段，我们跟进member_input类中的get()函数看看，
在\caches\caches_model\caches_data\ member_input.class.php 文件中：
! N% Y1 e) Z' c. s7 [# P0 m# ~
7 h, y4 @- ]7 G0 u

9 s2 x+ {" x0 V' V/ G1 X& T# rfunction get($data) {  
       $this->data = $data = trim_script($data);  
       $model_cache = getcache('member_model', 'commons');  
+ n4 m" T7 z2 r/ Q9 o4 p1 d# f       $this->db->table_name = $this->db_pre.$model_cache[$this->modelid]['tablename'];  
       $info = array();  
       $debar_filed = array('catid','title','style','thumb','status','islink','description');  
+ R, c3 h$ I, w1 V8 J       if(is_array($data)) {  
0 _9 g& i9 ~( x           foreach($data as $field=>$value) {  
              if($data['islink']==1 && !in_array($field,$debar_filed)) continue;  
( d6 M$ R4 H( i' _/ ]- d              $name = $this->fields[$field]['name'];  
4 ^% n% j. B3 {( z$ N              $minlength = $this->fields[$field]['minlength'];  
* M1 d/ x# m3 p; u8 _7 P# m              $maxlength = $this->fields[$field]['maxlength'];  
              $pattern = $this->fields[$field]['pattern'];  
              $errortips = $this->fields[$field]['errortips'];  
  a& n8 v# {5 B' t" o              if(empty($errortips)) $errortips = "$name 不符合要求！";  
& B6 v3 ^" e6 H; Z! o- J  ]              $length = empty($value) ? 0 : strlen($value);  
              if($minlength && $length < $minlength && !$isimport) showmessage("$name 不得少于 $minlength 个字符！");  
& Q9 X! I: \# P# H3 C$ \$ z              if($maxlength && $length > $maxlength && !$isimport) {  
                  showmessage("$name 不得超过 $maxlength 个字符！");  
              } else {  
                  str_cut($value, $maxlength);  
              }  
9 W# G6 X" t2 k  U5 I+ f              if($pattern && $length && !preg_match($pattern, $value) && !$isimport) showmessage($errortips);  
                if($this->fields[$field]['isunique'] && $this->db->get_one(array($field=>$value),$field) && ROUTE_A != 'edit') showmessage("$name 的值不得重复！");  
0 |- `7 ?% _& G6 u  B              $func = $this->fields[$field]['formtype'];  
              if(method_exists($this, $func)) $value = $this->$func($field, $value);  
/ j! h* A" u% y, r! t6 ?: X              $info[$field] = $value;  
  C, U: U0 c  q/ c  U4 T) \; g7 p           }  
2 i* R/ k1 U/ x! `       }  
+ I/ q: a+ L5 W6 h% S7 [       return $info;  
    }
2 s* e1 X6 l+ Y' ~/ e- N, g6 etrim_script函数是过滤XSS的，上面get函数一段代码干的事就是取提交上来的字段和值重新赋值到数组，

再到phpcms\modules\member\index.php 文件account_manage_info函数
" R: M; }" @" ]1 Q4 S$ x过了get()函数之后。


) j6 X- B& \/ [( T- a1 s$modelinfo = $member_input->get($_POST['info']);  
$ q$ o* P9 c0 [: [  O8 \           $this->db->set_model($this->memberinfo['modelid']);  
           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
4 Z/ V) j, o: H$ r( Y. b+ I           if(!empty($membermodelinfo)) {  
              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
           } else {
  w- k* o9 t5 b3 ^( W  v6 H) u& a% K直接带入数据库，update函数我们跟进看看
. V! W+ W6 o4 }0 r- Q​
1 C$ H9 W0 ?( e
: [6 n" R1 j1 \7 P0 r/ c" e! [public function update($data, $table, $where = '') {  
       if($table == '' or $where == '') {  
           return false;  
$ b" L9 P! l1 x       }  
# z: L' l9 }6 q% K' R$ U4 t       $where = ' WHERE '.$where;  
, \4 l& o9 J0 w; J8 }2 |0 l7 x       $field = '';  
$ v3 _' A2 |/ I' |3 V4 h       if(is_string($data) && $data != '') {  
           $field = $data;  
& f, K/ Q, [" |% a. z; x- ]       } elseif (is_array($data) && count($data) > 0) {  
$ U6 D' Y! N8 _# R  Y2 L3 g           $fields = array();  
( M! o( x' H3 [4 U, E' u" s+ Y           foreach($data as $k=>$v) {  
" Y; R! A) v6 z0 }5 Z              switch (substr($v, 0, 2)) {  
( d  J! J+ j& w& J) G! u4 |                  case '+=':  
                     $v = substr($v,2);  
                     if (is_numeric($v)) {  
                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'+'.$this->escape_string($v, '', false);  
/ b1 m( F  y! ?5 W: N- o! o                     } else {  
" F  s: f' \0 z2 E                         continue;  
/ R2 a; D& U- S" c0 t                     }  
                     break;  
7 h& n3 _# J( V                  case '-=':  
( [+ k9 m5 _4 h# P1 c( X                     $v = substr($v,2);  
                     if (is_numeric($v)) {  
9 ~6 `, Z. a7 u2 u' A                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'-'.$this->escape_string($v, '', false);  
                     } else {  
& A, j2 X0 G2 T: |* p                         continue;  
                     }  
& d/ I- s7 v: P0 |7 a+ j' h! ^7 a                     break;  
" T1 t9 W$ O$ C9 f0 d                  default:  
* t  t" S0 z( Q! Q                     $fields[] = $this->add_special_char($k).'='.$this->escape_string($v);  
              }  
           }  
           $field = implode(',', $fields);  
( Y$ D: O' \; W6 Q* k$ m3 h       } else {  
           return false;  
( @7 e1 `: Z! N' c( d( T       }  
4 Y4 |2 v+ x( X7 q. E4 s       $sql = 'UPDATE `'.$this->config['database'].'`.`'.$table.'` SET '.$field.$where;  
9 ~$ Q9 g$ o5 X! Q$ ~! n       print_r($sql);  
       return $this->execute($sql);  
    }
从头到尾也是没有验证数据库是否存在数组中的字段，然后直接执行SQL语句。也就是说SQL语句中的字段我们可控，导致注入。

攻击测试：
测试地址http://localhost
+ p, K# u1 R; ~$ a) z0 i# B! Z  注册会员seay并登陆。打开firebug工具HTML选项。修改birthday的name值为注入语句



) J; i! v# b4 ]* ~
) q6 i4 m9 L9 N+ ~& T9 }# V
2 ^, I7 X; R4 k) E# O% r, Y5 _