phpcms v9 2013-02-01 会员中心注入漏洞分析报告

admin

报告名称：phpcms v9 2013-02-01 会员中心注入漏洞分析报告
漏洞作者：skysheep
1 `2 l4 e3 N& h% e2 _分析作者：Seay
博客：http://www.cnseay.com/
3 u% v/ W9 m6 r: w漏洞分析:
  漏洞存在于 phpcms\modules\member\index.php 文件account_manage_info函数，其功能是更新会员信息。
1 R& ?: E, }" c0 O$ e6 E

9 P: Z; n& w  V" ]; P: N' c2 n
8 @) W1 v5 s" s* |' Wpublic function account_manage_info() {  
- l& u2 L' q7 v* k) x2 H# Z" x       if(isset($_POST['dosubmit'])) {  
: m$ q1 ?  @4 U/ ~" J! y0 ~           //更新用户昵称  
8 M1 Q% @$ W, S4 O5 v) ~# v( V           $nickname = isset($_POST['nickname']) && trim($_POST['nickname']) ? trim($_POST['nickname']) : '';  
           if($nickname) {  
: W; i- ]+ ]" s9 g9 w              $this->db->update(array('nickname'=>$nickname), array('userid'=>$this->memberinfo['userid']));  
              if(!isset($cookietime)) {  
" q  I2 D  v. E' j; Y& G9 h                  $get_cookietime = param::get_cookie('cookietime');  
              }  
              $_cookietime = $cookietime ? intval($cookietime) : ($get_cookietime ? $get_cookietime : 0);  
              $cookietime = $_cookietime ? TIME + $_cookietime : 0;  
              param::set_cookie('_nickname', $nickname, $cookietime);  
- ~: O$ v. T: {/ F% E0 b1 I7 A  j+ u           }  
4 }0 S# m0 ~2 z0 }, O* ^- u7 _           require_once CACHE_MODEL_PATH.'member_input.class.php';  
; f3 H1 s+ ~  |3 V; d' t9 c           require_once CACHE_MODEL_PATH.'member_update.class.php';  
           $member_input = new member_input($this->memberinfo['modelid']);  
0 d6 S% \( U# H: j           $modelinfo = $member_input->get($_POST['info']);  
           $this->db->set_model($this->memberinfo['modelid']);  
6 I5 \& W7 ^0 j+ {5 b  o           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
" C& B( k! n2 d7 x6 H4 J% p           if(!empty($membermodelinfo)) {  
              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
$ Z- ?# O7 v2 U: J) y           } else {  
2 L* }! }) W1 x              $modelinfo['userid'] = $this->memberinfo['userid'];  
              $this->db->insert($modelinfo);  
7 w- @! G" n! C! F. D           }
8 \' O6 t( A/ k代码中：$modelinfo = $member_input->get($_POST['info']);取得提交上来的会员模型中的字段，我们跟进member_input类中的get()函数看看，
# J. i" A% \1 ?& H0 k* m" i在\caches\caches_model\caches_data\ member_input.class.php 文件中：
8 _' \) h' [  K  o6 B


function get($data) {  
       $this->data = $data = trim_script($data);  
       $model_cache = getcache('member_model', 'commons');  
; G+ w6 x+ F+ w0 s6 ^       $this->db->table_name = $this->db_pre.$model_cache[$this->modelid]['tablename'];  
       $info = array();  
       $debar_filed = array('catid','title','style','thumb','status','islink','description');  
9 w. e! M) A- i3 A. F       if(is_array($data)) {  
' _% w* [9 B4 _5 o: z  a3 J& f           foreach($data as $field=>$value) {  
              if($data['islink']==1 && !in_array($field,$debar_filed)) continue;  
* V' K; b, K+ \" ^& N1 Y* ^              $name = $this->fields[$field]['name'];  
              $minlength = $this->fields[$field]['minlength'];  
/ {' |/ Q9 v5 h' W5 d              $maxlength = $this->fields[$field]['maxlength'];  
              $pattern = $this->fields[$field]['pattern'];  
) j; {1 P4 G1 n2 k6 E+ P0 ^' g/ m$ H              $errortips = $this->fields[$field]['errortips'];  
              if(empty($errortips)) $errortips = "$name 不符合要求！";  
6 L/ U9 w8 ^' S+ d3 h: W              $length = empty($value) ? 0 : strlen($value);  
  t8 q# Z- Y- F' J: g$ m              if($minlength && $length < $minlength && !$isimport) showmessage("$name 不得少于 $minlength 个字符！");  
              if($maxlength && $length > $maxlength && !$isimport) {  
& E- A% ]( D# P0 M                  showmessage("$name 不得超过 $maxlength 个字符！");  
              } else {  
2 M3 K$ F1 v2 K                  str_cut($value, $maxlength);  
              }  
              if($pattern && $length && !preg_match($pattern, $value) && !$isimport) showmessage($errortips);  
6 {: b% b# `4 ]0 Z                if($this->fields[$field]['isunique'] && $this->db->get_one(array($field=>$value),$field) && ROUTE_A != 'edit') showmessage("$name 的值不得重复！");  
              $func = $this->fields[$field]['formtype'];  
: ^% O, t& I, q) p/ `              if(method_exists($this, $func)) $value = $this->$func($field, $value);  
( N: L  {0 y& Z: w              $info[$field] = $value;  
           }  
       }  
       return $info;  
# _" i2 s' c  \- K    }
% ]8 i& Z: q+ `9 L) L+ k  ?$ Itrim_script函数是过滤XSS的，上面get函数一段代码干的事就是取提交上来的字段和值重新赋值到数组，
/ _8 Z0 ~% P2 x9 q! f
再到phpcms\modules\member\index.php 文件account_manage_info函数
过了get()函数之后。
5 f2 B' x: r8 z( s3 E+ a

. _: x; v8 i) B' q, d# g% l; A$modelinfo = $member_input->get($_POST['info']);  
* [5 t3 c. r. `% k* R& k           $this->db->set_model($this->memberinfo['modelid']);  
7 Z; U, r, v, L* S# }  M& j. Q$ H0 C3 Z           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
           if(!empty($membermodelinfo)) {  
              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
. x1 a; ]8 k% Z; |6 G7 z2 f9 C           } else {
. u9 P! a- x/ `1 z9 I( y6 V直接带入数据库，update函数我们跟进看看
9 B; ~2 x/ i& u​

% g) H0 _% I& n: rpublic function update($data, $table, $where = '') {  
       if($table == '' or $where == '') {  
& d; w. P2 q- s; F           return false;  
3 C) |9 s  D: {7 a" W/ Y! }       }  
       $where = ' WHERE '.$where;  
: b8 U0 N+ L: {% e       $field = '';  
) p0 ^% E& j$ I  w1 p  B       if(is_string($data) && $data != '') {  
8 C! {! a+ `% U( A$ i6 K% W           $field = $data;  
0 ?: _3 \1 [1 ]. @       } elseif (is_array($data) && count($data) > 0) {  
           $fields = array();  
% `1 H; X" b3 n           foreach($data as $k=>$v) {  
" g) G3 g1 O  D              switch (substr($v, 0, 2)) {  
% [5 v7 n$ {& n" Z5 Y                  case '+=':  
                     $v = substr($v,2);  
                     if (is_numeric($v)) {  
                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'+'.$this->escape_string($v, '', false);  
1 U3 ?% ?5 n0 S9 r9 U* q, ]                     } else {  
                         continue;  
- i3 T  d# d: L# ?3 d; u                     }  
* v: s2 a( L& Q/ {( M                     break;  
                  case '-=':  
7 X  @  W! f3 F0 m# i/ D  Y9 F                     $v = substr($v,2);  
9 A! t5 o, f3 p4 T                     if (is_numeric($v)) {  
                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'-'.$this->escape_string($v, '', false);  
                     } else {  
8 ?. N3 J% Q" q                         continue;  
                     }  
                     break;  
% n  d' g% Q) v* T0 \                  default:  
) E5 f% s& ]; P& s9 Z3 M( a7 t                     $fields[] = $this->add_special_char($k).'='.$this->escape_string($v);  
              }  
* ?" ^9 e& [2 m  p           }  
2 i* S1 H" ^+ h% n; K6 M  D           $field = implode(',', $fields);  
7 b" D# ^( x1 W( j) u$ P; A       } else {  
           return false;  
" U; i: n4 z- U! A; M  [; d       }  
       $sql = 'UPDATE `'.$this->config['database'].'`.`'.$table.'` SET '.$field.$where;  
       print_r($sql);  
5 d. O7 P2 [8 t4 Q' n9 O8 Z       return $this->execute($sql);  
    }
) j# d4 x9 Z4 D4 d5 [从头到尾也是没有验证数据库是否存在数组中的字段，然后直接执行SQL语句。也就是说SQL语句中的字段我们可控，导致注入。

攻击测试：
测试地址http://localhost
  注册会员seay并登陆。打开firebug工具HTML选项。修改birthday的name值为注入语句
; m1 \, v; _1 v9 u. v: b

/ N" n! k0 ~6 c% }5 y+ ~( b


) `2 t( ~3 Y! t; u