phpcms v9 2013-02-01 会员中心注入漏洞分析报告

admin

报告名称：phpcms v9 2013-02-01 会员中心注入漏洞分析报告
! w! {( H2 [4 d1 S7 o  `3 G8 T) q漏洞作者：skysheep
0 D$ Y- E0 p: j; u分析作者：Seay
博客：http://www.cnseay.com/
' l) z( [. R8 H. |5 Q漏洞分析:
! m% Q# B9 T2 L, i6 ^& \  漏洞存在于 phpcms\modules\member\index.php 文件account_manage_info函数，其功能是更新会员信息。
- E+ [6 {3 P- M' T% o% ^4 H
0 L) x. D" Z( G. D" K' q

public function account_manage_info() {  
6 ~! Q3 U0 j' @: E4 X       if(isset($_POST['dosubmit'])) {  
# e% F" H( R. Q- i           //更新用户昵称  
/ f. [- Q, O( i3 _6 O. D8 |8 u' L7 I# C           $nickname = isset($_POST['nickname']) && trim($_POST['nickname']) ? trim($_POST['nickname']) : '';  
0 L0 ^, G7 t" M+ G           if($nickname) {  
. o1 @0 Y$ @. ?- a2 Q3 p  A4 S7 f              $this->db->update(array('nickname'=>$nickname), array('userid'=>$this->memberinfo['userid']));  
, X! D! M$ J% g# p              if(!isset($cookietime)) {  
8 A  @. K9 c' ^6 T: t                  $get_cookietime = param::get_cookie('cookietime');  
              }  
              $_cookietime = $cookietime ? intval($cookietime) : ($get_cookietime ? $get_cookietime : 0);  
. j& U6 s0 u1 {" @              $cookietime = $_cookietime ? TIME + $_cookietime : 0;  
              param::set_cookie('_nickname', $nickname, $cookietime);  
8 R! B1 ^5 k' m4 c  p           }  
           require_once CACHE_MODEL_PATH.'member_input.class.php';  
           require_once CACHE_MODEL_PATH.'member_update.class.php';  
           $member_input = new member_input($this->memberinfo['modelid']);  
           $modelinfo = $member_input->get($_POST['info']);  
; }' g, t" o% ]# ^           $this->db->set_model($this->memberinfo['modelid']);  
# d5 _% D+ F; `! q* _/ X           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
( @. V: K9 `! Z. _4 J           if(!empty($membermodelinfo)) {  
" w$ l: p0 j1 r              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
           } else {  
' V, i  h0 j: ?6 z0 H              $modelinfo['userid'] = $this->memberinfo['userid'];  
              $this->db->insert($modelinfo);  
           }
代码中：$modelinfo = $member_input->get($_POST['info']);取得提交上来的会员模型中的字段，我们跟进member_input类中的get()函数看看，
# M% W5 \- B  y4 [. r* U% ?- p9 E在\caches\caches_model\caches_data\ member_input.class.php 文件中：
. E. X6 a2 \; h


function get($data) {  
       $this->data = $data = trim_script($data);  
9 ~- s# D/ J0 J, j& ^       $model_cache = getcache('member_model', 'commons');  
       $this->db->table_name = $this->db_pre.$model_cache[$this->modelid]['tablename'];  
       $info = array();  
5 ]1 G- b, G$ X+ v) G9 W0 x       $debar_filed = array('catid','title','style','thumb','status','islink','description');  
       if(is_array($data)) {  
           foreach($data as $field=>$value) {  
              if($data['islink']==1 && !in_array($field,$debar_filed)) continue;  
1 a  A9 e/ `! |' O6 u& i              $name = $this->fields[$field]['name'];  
              $minlength = $this->fields[$field]['minlength'];  
              $maxlength = $this->fields[$field]['maxlength'];  
/ p( R: `% ^5 ?) b* x  K0 y4 p              $pattern = $this->fields[$field]['pattern'];  
              $errortips = $this->fields[$field]['errortips'];  
              if(empty($errortips)) $errortips = "$name 不符合要求！";  
7 R# r" j* E6 z* {$ W: Q$ f              $length = empty($value) ? 0 : strlen($value);  
              if($minlength && $length < $minlength && !$isimport) showmessage("$name 不得少于 $minlength 个字符！");  
; @% ~. [( N+ O, L( X              if($maxlength && $length > $maxlength && !$isimport) {  
                  showmessage("$name 不得超过 $maxlength 个字符！");  
/ P) h9 C+ ^0 f7 s( G              } else {  
) X% \( W- t3 U                  str_cut($value, $maxlength);  
3 d2 g: J9 }: a2 ]( w              }  
3 f8 ~4 w- w5 _' o0 {" f              if($pattern && $length && !preg_match($pattern, $value) && !$isimport) showmessage($errortips);  
                if($this->fields[$field]['isunique'] && $this->db->get_one(array($field=>$value),$field) && ROUTE_A != 'edit') showmessage("$name 的值不得重复！");  
              $func = $this->fields[$field]['formtype'];  
              if(method_exists($this, $func)) $value = $this->$func($field, $value);  
3 t# b& M, ?+ h1 d              $info[$field] = $value;  
% ]( `3 W- ?" I7 \& O! c# |           }  
' D/ m' @2 f. H% B8 E       }  
       return $info;  
    }
7 E2 i/ `% s- y$ }trim_script函数是过滤XSS的，上面get函数一段代码干的事就是取提交上来的字段和值重新赋值到数组，
! S4 G. S0 C2 F! E/ i" U
再到phpcms\modules\member\index.php 文件account_manage_info函数
过了get()函数之后。

$ I2 M* d+ l9 Z, Q% g. p
  H  {5 U/ Y$ Y& ~; Y8 S2 I$modelinfo = $member_input->get($_POST['info']);  
" k" t) B+ O- K; ~& @3 v           $this->db->set_model($this->memberinfo['modelid']);  
5 Z7 W6 n3 F  B' f8 F. L           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
           if(!empty($membermodelinfo)) {  
              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
           } else {
% X/ Z! P/ X. R' N( U$ I+ A直接带入数据库，update函数我们跟进看看
8 y( F: g1 y# W# B/ Q8 o. w​

public function update($data, $table, $where = '') {  
       if($table == '' or $where == '') {  
* C- v2 M7 m3 M. f2 J6 x2 h           return false;  
- b) Z1 Q* v: \; e' h       }  
       $where = ' WHERE '.$where;  
       $field = '';  
7 R8 f0 K, p0 v       if(is_string($data) && $data != '') {  
           $field = $data;  
       } elseif (is_array($data) && count($data) > 0) {  
0 G& M: j8 i) H1 @           $fields = array();  
6 Q' |* `; s  e( W1 I           foreach($data as $k=>$v) {  
              switch (substr($v, 0, 2)) {  
& V  _9 R( M- `3 X; s/ a* N                  case '+=':  
                     $v = substr($v,2);  
                     if (is_numeric($v)) {  
, D' H, Y% j  e" j- p1 m                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'+'.$this->escape_string($v, '', false);  
' f" W2 |6 B3 F8 ]                     } else {  
" n0 y5 n8 [- R$ r                         continue;  
                     }  
                     break;  
                  case '-=':  
                     $v = substr($v,2);  
                     if (is_numeric($v)) {  
                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'-'.$this->escape_string($v, '', false);  
                     } else {  
5 v$ D6 ]4 b4 _. J                         continue;  
6 s7 C3 e$ [6 @  |                     }  
                     break;  
! t; J% ~% L9 u4 q                  default:  
                     $fields[] = $this->add_special_char($k).'='.$this->escape_string($v);  
$ }; v  ]0 H9 i% ^" |, u3 j+ `              }  
# S5 }; n; w; F) Y0 Z           }  
           $field = implode(',', $fields);  
       } else {  
" U! ^2 y) `0 i7 ^7 n1 }           return false;  
& Y7 |" p3 L* U" R8 ]       }  
       $sql = 'UPDATE `'.$this->config['database'].'`.`'.$table.'` SET '.$field.$where;  
  R" ?0 s9 p4 ?% X& q       print_r($sql);  
- X/ O. n$ r. r8 B5 _7 J       return $this->execute($sql);  
: @) S3 \6 T$ N    }
从头到尾也是没有验证数据库是否存在数组中的字段，然后直接执行SQL语句。也就是说SQL语句中的字段我们可控，导致注入。

攻击测试：
测试地址http://localhost
  注册会员seay并登陆。打开firebug工具HTML选项。修改birthday的name值为注入语句

" V& }1 D  T& y" a; U

  M, Z/ x8 h8 t4 V
# d& }3 F# o  }8 k: w3 c/ s