phpcms v9 2013-02-01 会员中心注入漏洞分析报告

admin

报告名称：phpcms v9 2013-02-01 会员中心注入漏洞分析报告
漏洞作者：skysheep
5 ~' s9 C/ k0 v' Q% l2 x分析作者：Seay
博客：http://www.cnseay.com/
( ]+ V' h3 _, l6 K, S0 \. j漏洞分析:
7 P+ X) L$ b+ l8 {* m  漏洞存在于 phpcms\modules\member\index.php 文件account_manage_info函数，其功能是更新会员信息。
% R4 O& d8 A0 Z5 Z. O! H2 y


' ?5 p2 E" X3 M, p' H% [public function account_manage_info() {  
7 Y5 C0 p* v9 |2 q2 X( a+ T       if(isset($_POST['dosubmit'])) {  
           //更新用户昵称  
- `" |2 X2 W3 q- B           $nickname = isset($_POST['nickname']) && trim($_POST['nickname']) ? trim($_POST['nickname']) : '';  
           if($nickname) {  
              $this->db->update(array('nickname'=>$nickname), array('userid'=>$this->memberinfo['userid']));  
              if(!isset($cookietime)) {  
                  $get_cookietime = param::get_cookie('cookietime');  
              }  
              $_cookietime = $cookietime ? intval($cookietime) : ($get_cookietime ? $get_cookietime : 0);  
              $cookietime = $_cookietime ? TIME + $_cookietime : 0;  
              param::set_cookie('_nickname', $nickname, $cookietime);  
$ e4 G5 U- U: B! s% M! t7 ~1 B9 B           }  
           require_once CACHE_MODEL_PATH.'member_input.class.php';  
! c7 P' R" g' ]2 G: M           require_once CACHE_MODEL_PATH.'member_update.class.php';  
           $member_input = new member_input($this->memberinfo['modelid']);  
# o& M( m3 I( L% d! _           $modelinfo = $member_input->get($_POST['info']);  
/ ]7 o( ?/ F  Q* @" K; I           $this->db->set_model($this->memberinfo['modelid']);  
           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
8 |  Y' G8 @( K% Z0 e           if(!empty($membermodelinfo)) {  
              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
           } else {  
              $modelinfo['userid'] = $this->memberinfo['userid'];  
& o  d: B) ^1 F# a              $this->db->insert($modelinfo);  
           }
! F$ F5 M* o. [2 h% I2 x; L代码中：$modelinfo = $member_input->get($_POST['info']);取得提交上来的会员模型中的字段，我们跟进member_input类中的get()函数看看，
在\caches\caches_model\caches_data\ member_input.class.php 文件中：



function get($data) {  
+ i, {0 a$ k1 I9 m: Y7 m$ L; W1 N       $this->data = $data = trim_script($data);  
       $model_cache = getcache('member_model', 'commons');  
8 R# V+ t# g1 _* T2 G; z! o       $this->db->table_name = $this->db_pre.$model_cache[$this->modelid]['tablename'];  
       $info = array();  
       $debar_filed = array('catid','title','style','thumb','status','islink','description');  
       if(is_array($data)) {  
( j( a% X% L% E  T6 T           foreach($data as $field=>$value) {  
              if($data['islink']==1 && !in_array($field,$debar_filed)) continue;  
& S6 ]! Y8 a0 y, _; o              $name = $this->fields[$field]['name'];  
$ V+ V  a8 ^* C: k' v: g" a              $minlength = $this->fields[$field]['minlength'];  
              $maxlength = $this->fields[$field]['maxlength'];  
              $pattern = $this->fields[$field]['pattern'];  
              $errortips = $this->fields[$field]['errortips'];  
              if(empty($errortips)) $errortips = "$name 不符合要求！";  
8 V, f! D; ]# V6 P9 r              $length = empty($value) ? 0 : strlen($value);  
( D. @. b) ^+ l              if($minlength && $length < $minlength && !$isimport) showmessage("$name 不得少于 $minlength 个字符！");  
; _9 j+ H7 j& i) Z              if($maxlength && $length > $maxlength && !$isimport) {  
                  showmessage("$name 不得超过 $maxlength 个字符！");  
              } else {  
! Y- _; Q0 I% K2 S1 v: q                  str_cut($value, $maxlength);  
' c* L4 J( @/ O$ m, F/ c+ e8 X% |              }  
4 A# t" O* s5 q8 b5 v3 U  @              if($pattern && $length && !preg_match($pattern, $value) && !$isimport) showmessage($errortips);  
                if($this->fields[$field]['isunique'] && $this->db->get_one(array($field=>$value),$field) && ROUTE_A != 'edit') showmessage("$name 的值不得重复！");  
              $func = $this->fields[$field]['formtype'];  
              if(method_exists($this, $func)) $value = $this->$func($field, $value);  
              $info[$field] = $value;  
5 f: s7 {! y& e7 \8 M           }  
' b, m/ F' b  J! P       }  
8 ?# \. j' M; |+ ^0 Y/ C2 r       return $info;  
    }
trim_script函数是过滤XSS的，上面get函数一段代码干的事就是取提交上来的字段和值重新赋值到数组，
! B' I7 N/ {8 N
再到phpcms\modules\member\index.php 文件account_manage_info函数
) n5 A5 x7 p( W% S6 E过了get()函数之后。

0 x1 l6 H7 N4 v+ y! c
% w( f* K- x$ h, K$ @  c( O$modelinfo = $member_input->get($_POST['info']);  
           $this->db->set_model($this->memberinfo['modelid']);  
           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
/ i6 o7 w/ X& c  S, p           if(!empty($membermodelinfo)) {  
$ o3 Z2 g- h9 _. w5 n              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
3 E$ L6 u; Y4 e9 p$ a$ `           } else {
直接带入数据库，update函数我们跟进看看
​

0 {" t. H; }5 Y! `8 xpublic function update($data, $table, $where = '') {  
/ K, W. ^2 u1 E* D* C: f       if($table == '' or $where == '') {  
           return false;  
       }  
) z- l8 Q# {5 M3 U       $where = ' WHERE '.$where;  
. t2 Q+ k2 n  ]9 c" y7 z! ]       $field = '';  
6 ^# q1 _4 g* H& R1 P3 B* T/ ^       if(is_string($data) && $data != '') {  
           $field = $data;  
  j0 O1 A+ }9 N/ R5 f       } elseif (is_array($data) && count($data) > 0) {  
. x1 P$ ^9 V, X           $fields = array();  
           foreach($data as $k=>$v) {  
# ^7 |/ b7 K3 e2 J) j7 w              switch (substr($v, 0, 2)) {  
                  case '+=':  
                     $v = substr($v,2);  
                     if (is_numeric($v)) {  
                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'+'.$this->escape_string($v, '', false);  
/ P: E6 R% f5 s2 v% _- K                     } else {  
* @! O3 x7 r) `0 T" ], A                         continue;  
                     }  
                     break;  
$ @4 `1 z2 E( Z' d$ t- a- V6 p& X: T                  case '-=':  
" b: C& F1 |" w$ K$ u                     $v = substr($v,2);  
                     if (is_numeric($v)) {  
7 z* p) ^! x( X& E9 D; C5 T, {                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'-'.$this->escape_string($v, '', false);  
* e+ W- F% ]7 V5 G2 n: T                     } else {  
                         continue;  
                     }  
3 C* f1 _& S( _% ?- }6 ]3 z                     break;  
) |) n. k7 `3 S# [                  default:  
6 q& V; z! ^! A% m: Y5 d( x                     $fields[] = $this->add_special_char($k).'='.$this->escape_string($v);  
              }  
  Q3 f4 O# O( u6 P/ Q6 x) k           }  
" O; i' K5 k) t* X! z+ T+ _- Q$ C           $field = implode(',', $fields);  
) I. X! i4 L3 V' K       } else {  
5 V. s& f. [$ [1 M           return false;  
8 C5 a" }4 U: @% ]" j: Y& u! L       }  
       $sql = 'UPDATE `'.$this->config['database'].'`.`'.$table.'` SET '.$field.$where;  
3 P2 K+ R2 ^" Q9 ~       print_r($sql);  
       return $this->execute($sql);  
    }
; ?5 v4 K# B+ Z+ q从头到尾也是没有验证数据库是否存在数组中的字段，然后直接执行SQL语句。也就是说SQL语句中的字段我们可控，导致注入。
4 L, c. m& _5 k) O( `6 s! C1 P
攻击测试：
2 f$ q( y! w6 Y0 v测试地址http://localhost
  注册会员seay并登陆。打开firebug工具HTML选项。修改birthday的name值为注入语句
7 A4 D) V( ~, a0 s! r# P7 b
/ b9 l7 y' a: {! W8 Z; F+ U


! Y3 R, v8 c9 |2 [- |  T/ r2 f