phpcms v9 2013-02-01 会员中心注入漏洞分析报告

admin

报告名称：phpcms v9 2013-02-01 会员中心注入漏洞分析报告
漏洞作者：skysheep
分析作者：Seay
3 l$ D6 Q7 Y1 D1 \: s) {! m; ^博客：http://www.cnseay.com/
; |9 k. a4 j- n" q" n$ P漏洞分析:
  漏洞存在于 phpcms\modules\member\index.php 文件account_manage_info函数，其功能是更新会员信息。
4 n5 _$ q' Q8 Z; D" H" O
1 d- l7 Z* X  E5 {& ^
3 R+ U( `: N) o4 I0 y0 a
' s4 u5 j. _; G: Epublic function account_manage_info() {  
* F, t# H" W( H5 e, X       if(isset($_POST['dosubmit'])) {  
2 h7 M8 |3 M+ ?4 s1 O9 ]; J           //更新用户昵称  
1 S8 x! H: Z* k7 P( l2 M  M; k           $nickname = isset($_POST['nickname']) && trim($_POST['nickname']) ? trim($_POST['nickname']) : '';  
           if($nickname) {  
; `3 T* Z+ ^' q              $this->db->update(array('nickname'=>$nickname), array('userid'=>$this->memberinfo['userid']));  
$ p9 M& y2 Q( z! p8 r              if(!isset($cookietime)) {  
2 ^" @: D7 R6 J6 B( O7 @3 M* l                  $get_cookietime = param::get_cookie('cookietime');  
              }  
: t/ x$ h8 b3 a6 Q" V- h  f              $_cookietime = $cookietime ? intval($cookietime) : ($get_cookietime ? $get_cookietime : 0);  
              $cookietime = $_cookietime ? TIME + $_cookietime : 0;  
. h, o+ h  s* S. i. W              param::set_cookie('_nickname', $nickname, $cookietime);  
/ W$ c9 l* e% g- \* M4 U           }  
0 ^) X% y: z& h/ s           require_once CACHE_MODEL_PATH.'member_input.class.php';  
- i$ q+ {# B7 |           require_once CACHE_MODEL_PATH.'member_update.class.php';  
           $member_input = new member_input($this->memberinfo['modelid']);  
           $modelinfo = $member_input->get($_POST['info']);  
1 c3 N" z/ Y+ _           $this->db->set_model($this->memberinfo['modelid']);  
7 H$ I4 J' g/ L. e2 q% h           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
. i2 _; Q8 k( ?4 P0 `% a           if(!empty($membermodelinfo)) {  
5 m; D4 x; e& L              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
           } else {  
, |6 c1 X! r5 @3 A& G              $modelinfo['userid'] = $this->memberinfo['userid'];  
! [4 R  s& m1 f$ C              $this->db->insert($modelinfo);  
           }
代码中：$modelinfo = $member_input->get($_POST['info']);取得提交上来的会员模型中的字段，我们跟进member_input类中的get()函数看看，
* `# x3 w. W2 O- L6 V# Q% c在\caches\caches_model\caches_data\ member_input.class.php 文件中：

# b8 o" s# _- M3 U0 _0 ~4 H/ r
- y* z, Z0 R( _5 q. q3 Q3 l3 N
function get($data) {  
       $this->data = $data = trim_script($data);  
       $model_cache = getcache('member_model', 'commons');  
& g/ W0 a" G1 s. u  N       $this->db->table_name = $this->db_pre.$model_cache[$this->modelid]['tablename'];  
       $info = array();  
6 c9 Y. x* ], J7 t" o3 }       $debar_filed = array('catid','title','style','thumb','status','islink','description');  
1 D# W9 B5 X" r4 ]' o       if(is_array($data)) {  
5 u6 S' R& ]) p" n( N8 o) F           foreach($data as $field=>$value) {  
. {' Q! \+ F$ q              if($data['islink']==1 && !in_array($field,$debar_filed)) continue;  
, Y( s& x6 d" d  D* b              $name = $this->fields[$field]['name'];  
              $minlength = $this->fields[$field]['minlength'];  
% ^+ W- a% O! N# U1 S              $maxlength = $this->fields[$field]['maxlength'];  
              $pattern = $this->fields[$field]['pattern'];  
% b* e& e  o/ x1 m, k: q              $errortips = $this->fields[$field]['errortips'];  
6 P) {* ]8 g( m1 v' ?              if(empty($errortips)) $errortips = "$name 不符合要求！";  
1 `3 S1 E3 w" f4 y  s7 x              $length = empty($value) ? 0 : strlen($value);  
3 ^4 I( G1 J/ e              if($minlength && $length < $minlength && !$isimport) showmessage("$name 不得少于 $minlength 个字符！");  
              if($maxlength && $length > $maxlength && !$isimport) {  
                  showmessage("$name 不得超过 $maxlength 个字符！");  
              } else {  
! k( R; \* E5 [; ^                  str_cut($value, $maxlength);  
- P. M' Y" q/ f" a              }  
              if($pattern && $length && !preg_match($pattern, $value) && !$isimport) showmessage($errortips);  
; J8 c0 A+ `* b7 }$ @, z* e                if($this->fields[$field]['isunique'] && $this->db->get_one(array($field=>$value),$field) && ROUTE_A != 'edit') showmessage("$name 的值不得重复！");  
              $func = $this->fields[$field]['formtype'];  
5 O6 V& g, S  a3 u6 @& H6 l              if(method_exists($this, $func)) $value = $this->$func($field, $value);  
6 C  E- o# s9 q7 i1 k8 x" a              $info[$field] = $value;  
           }  
       }  
       return $info;  
    }
: x1 ^8 ]5 x7 ztrim_script函数是过滤XSS的，上面get函数一段代码干的事就是取提交上来的字段和值重新赋值到数组，
3 ~- {+ H- k9 Z5 U( [, S
再到phpcms\modules\member\index.php 文件account_manage_info函数
4 j: ]! R7 `8 \% Y( l( j) _4 w. q过了get()函数之后。


$modelinfo = $member_input->get($_POST['info']);  
3 {% e, j. p7 q) G           $this->db->set_model($this->memberinfo['modelid']);  
           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
: W- R# q+ q* X; u, R! N           if(!empty($membermodelinfo)) {  
              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
$ G$ ~6 k* T) d5 }1 k           } else {
直接带入数据库，update函数我们跟进看看
​
1 K' i5 ~4 s/ ^* Z' o  h3 e3 p" n$ z
public function update($data, $table, $where = '') {  
8 T$ `% l* u. ^' S       if($table == '' or $where == '') {  
           return false;  
) A4 O* l6 s3 X+ ^, Z$ P0 o" T       }  
8 d. O" t1 _- X5 I* C: h       $where = ' WHERE '.$where;  
2 y2 C0 J8 `6 _6 W       $field = '';  
       if(is_string($data) && $data != '') {  
           $field = $data;  
       } elseif (is_array($data) && count($data) > 0) {  
1 ^8 y0 C9 T0 [; a* t( k           $fields = array();  
           foreach($data as $k=>$v) {  
              switch (substr($v, 0, 2)) {  
. L& u: L) [% F4 K1 [5 C( L1 ^7 V                  case '+=':  
                     $v = substr($v,2);  
! I  t( b- _0 E( p                     if (is_numeric($v)) {  
" v5 ]3 V0 {- ?; r7 x0 B( P0 {                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'+'.$this->escape_string($v, '', false);  
                     } else {  
+ [+ h) Y1 w, y0 g+ `' Y- @                         continue;  
                     }  
                     break;  
1 Q' [& t# p3 h; c/ y" e                  case '-=':  
                     $v = substr($v,2);  
                     if (is_numeric($v)) {  
                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'-'.$this->escape_string($v, '', false);  
5 X7 R' F) F4 G; I4 d/ ~+ Q                     } else {  
# W+ Z  g+ H6 }' V                         continue;  
- m' T0 b- E" X, H6 r3 Z" T1 \6 ]                     }  
5 R) J. i" \' f! H& ?& {                     break;  
                  default:  
                     $fields[] = $this->add_special_char($k).'='.$this->escape_string($v);  
              }  
# K" d6 f0 {( }* ~- V' U# I           }  
           $field = implode(',', $fields);  
       } else {  
% z9 z, z" I) A           return false;  
       }  
       $sql = 'UPDATE `'.$this->config['database'].'`.`'.$table.'` SET '.$field.$where;  
       print_r($sql);  
4 o6 w& s9 q. `0 H9 |9 X       return $this->execute($sql);  
    }
从头到尾也是没有验证数据库是否存在数组中的字段，然后直接执行SQL语句。也就是说SQL语句中的字段我们可控，导致注入。
- W$ L! k$ R$ C# y; r
攻击测试：
测试地址http://localhost
4 X; C4 p9 S/ `  o) f* k$ g  注册会员seay并登陆。打开firebug工具HTML选项。修改birthday的name值为注入语句
9 W# X. J4 f# L6 F
" E- J& P2 k7 j, y8 D# u# I
+ g: o1 K# r9 o* _" C" z! x2 h- Q

1 z: C& @9 U/ u
% A4 m& C; `2 s$ D- P  v