phpcms v9 2013-02-01 会员中心注入漏洞分析报告

admin

报告名称：phpcms v9 2013-02-01 会员中心注入漏洞分析报告
漏洞作者：skysheep
7 q* U% _' U& Q3 b! z& Q分析作者：Seay
+ H2 U2 O4 |' r+ v( a- @) G博客：http://www.cnseay.com/
/ K2 _$ @4 f- G# {4 i$ _漏洞分析:
- B4 c' H; C* Y2 m/ J* b9 \  漏洞存在于 phpcms\modules\member\index.php 文件account_manage_info函数，其功能是更新会员信息。

( {- h5 x9 T( r8 B
4 I# L; h; v4 N& M) X! s, F) T
public function account_manage_info() {  
/ a8 V7 h0 b3 X6 I" F0 X4 m       if(isset($_POST['dosubmit'])) {  
6 D+ c0 b6 h: A2 [2 s0 c9 @9 @           //更新用户昵称  
           $nickname = isset($_POST['nickname']) && trim($_POST['nickname']) ? trim($_POST['nickname']) : '';  
           if($nickname) {  
              $this->db->update(array('nickname'=>$nickname), array('userid'=>$this->memberinfo['userid']));  
              if(!isset($cookietime)) {  
                  $get_cookietime = param::get_cookie('cookietime');  
              }  
, i5 n! ?. S) @- T# b7 q              $_cookietime = $cookietime ? intval($cookietime) : ($get_cookietime ? $get_cookietime : 0);  
              $cookietime = $_cookietime ? TIME + $_cookietime : 0;  
5 j: f2 j  L. u  H0 {' N              param::set_cookie('_nickname', $nickname, $cookietime);  
0 R, U; {4 ^, ^) X           }  
           require_once CACHE_MODEL_PATH.'member_input.class.php';  
           require_once CACHE_MODEL_PATH.'member_update.class.php';  
  s( a) Z  Y6 \           $member_input = new member_input($this->memberinfo['modelid']);  
           $modelinfo = $member_input->get($_POST['info']);  
           $this->db->set_model($this->memberinfo['modelid']);  
1 X& B3 U+ X: l% x' u2 l- {5 ?           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
$ P4 ]/ ]$ T7 K3 E7 u" z           if(!empty($membermodelinfo)) {  
5 H; a: F2 d& c+ U/ ^- V+ p7 \) j* [# d              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
, e0 W4 J7 K7 U3 A9 R7 |1 r3 B           } else {  
              $modelinfo['userid'] = $this->memberinfo['userid'];  
+ c$ C* k% O, K" P/ ~/ X- ~5 |" }; `9 o              $this->db->insert($modelinfo);  
$ N4 E' r3 u: l- B1 H/ g) |5 G! X5 I           }
代码中：$modelinfo = $member_input->get($_POST['info']);取得提交上来的会员模型中的字段，我们跟进member_input类中的get()函数看看，
* `, U3 v! ]7 N! N  L在\caches\caches_model\caches_data\ member_input.class.php 文件中：


* @  H. U( l* S' K  i
1 Q9 o& x4 R$ v/ vfunction get($data) {  
7 a" b, p/ O% E# o6 ~! C4 s6 N( d       $this->data = $data = trim_script($data);  
       $model_cache = getcache('member_model', 'commons');  
       $this->db->table_name = $this->db_pre.$model_cache[$this->modelid]['tablename'];  
8 F. h3 |) S) e/ g0 t) A  M       $info = array();  
       $debar_filed = array('catid','title','style','thumb','status','islink','description');  
       if(is_array($data)) {  
6 s" k  V1 q. v& F           foreach($data as $field=>$value) {  
              if($data['islink']==1 && !in_array($field,$debar_filed)) continue;  
              $name = $this->fields[$field]['name'];  
              $minlength = $this->fields[$field]['minlength'];  
              $maxlength = $this->fields[$field]['maxlength'];  
* u, X# Q) T4 x2 H- P0 _              $pattern = $this->fields[$field]['pattern'];  
6 Z: T: V" t8 a. ^% E9 a* D0 S              $errortips = $this->fields[$field]['errortips'];  
              if(empty($errortips)) $errortips = "$name 不符合要求！";  
              $length = empty($value) ? 0 : strlen($value);  
              if($minlength && $length < $minlength && !$isimport) showmessage("$name 不得少于 $minlength 个字符！");  
5 W' u7 Z$ ~" Z. N& U& P              if($maxlength && $length > $maxlength && !$isimport) {  
6 m! L  S0 D  g5 ^/ {" D$ o2 q                  showmessage("$name 不得超过 $maxlength 个字符！");  
              } else {  
                  str_cut($value, $maxlength);  
0 c* ?- p" s: c( x              }  
8 u8 M& G+ p/ g9 I# T( ^; w              if($pattern && $length && !preg_match($pattern, $value) && !$isimport) showmessage($errortips);  
                if($this->fields[$field]['isunique'] && $this->db->get_one(array($field=>$value),$field) && ROUTE_A != 'edit') showmessage("$name 的值不得重复！");  
' B- {; B/ V0 [8 J/ M# S& T- q              $func = $this->fields[$field]['formtype'];  
* q* d) m1 B4 e/ N" x              if(method_exists($this, $func)) $value = $this->$func($field, $value);  
: ^' G# a) b0 C8 I7 h0 ^              $info[$field] = $value;  
9 Y" r: T8 K' ~5 Q1 s* w           }  
       }  
/ ^/ i, o  e4 X6 ]: V       return $info;  
& k7 x: [) u" F  J7 ^/ P5 U    }
& p$ ?7 n* h6 q" T  L- ctrim_script函数是过滤XSS的，上面get函数一段代码干的事就是取提交上来的字段和值重新赋值到数组，
- u" |7 l2 N, A% G$ F% G
再到phpcms\modules\member\index.php 文件account_manage_info函数
6 n+ S. Y7 m( l; i% [过了get()函数之后。
; R6 I" O% G, P% L# C3 w

$modelinfo = $member_input->get($_POST['info']);  
" K8 d+ J4 q8 Y$ l$ F           $this->db->set_model($this->memberinfo['modelid']);  
; G+ I* G9 p  S$ c7 H0 c* Q           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
           if(!empty($membermodelinfo)) {  
8 \+ K) b  Q( ]  |              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
           } else {
7 v2 n; r$ b+ X/ h直接带入数据库，update函数我们跟进看看
​
2 F9 X, f7 d3 L
1 m% @9 y8 a6 i8 ~6 z4 C: V! C9 \public function update($data, $table, $where = '') {  
       if($table == '' or $where == '') {  
           return false;  
: a: ]" S0 d4 d. u0 ^       }  
. q7 F8 e, @! \9 s4 ^( `       $where = ' WHERE '.$where;  
. F. M6 Y6 P) n       $field = '';  
       if(is_string($data) && $data != '') {  
$ N+ F# e- b1 z' h% s: U1 l           $field = $data;  
       } elseif (is_array($data) && count($data) > 0) {  
# c; o2 w9 ?% U           $fields = array();  
           foreach($data as $k=>$v) {  
- a; z; @: p1 Q4 ?3 c. ~              switch (substr($v, 0, 2)) {  
/ l' X7 [; A2 `                  case '+=':  
- W  j% v7 s& f* j                     $v = substr($v,2);  
1 F1 g2 [$ B# w9 m, Y/ r1 C' G                     if (is_numeric($v)) {  
                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'+'.$this->escape_string($v, '', false);  
2 C  Q; S" w& a& t7 B( a                     } else {  
& }5 e1 c: ^6 L& T  Q1 V& P                         continue;  
                     }  
5 R! K9 k* b7 q; u/ h. A9 I& G                     break;  
5 i  m1 g, ~1 h* X$ N                  case '-=':  
: _+ n4 n/ [$ p( w& i  e                     $v = substr($v,2);  
                     if (is_numeric($v)) {  
9 D" W  z9 E. ]! I7 L                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'-'.$this->escape_string($v, '', false);  
3 M# Q& H4 z) w, t                     } else {  
0 w5 U4 W2 B* V/ m. B                         continue;  
7 j  w$ W. q, B2 m; G                     }  
7 |4 e. K' v2 ~  t                     break;  
                  default:  
                     $fields[] = $this->add_special_char($k).'='.$this->escape_string($v);  
              }  
' M2 @0 N/ K6 q6 l  y           }  
           $field = implode(',', $fields);  
       } else {  
           return false;  
- ]# j, ]& z; B4 _' Y) p' i1 Z- S       }  
+ ~2 V2 f' H. ]       $sql = 'UPDATE `'.$this->config['database'].'`.`'.$table.'` SET '.$field.$where;  
7 t2 c) g. G; V3 `  m5 ~$ e/ a       print_r($sql);  
  _0 r0 p/ m# P: O/ }. Q       return $this->execute($sql);  
. `' h: V' l5 E: J1 I, K2 X    }
从头到尾也是没有验证数据库是否存在数组中的字段，然后直接执行SQL语句。也就是说SQL语句中的字段我们可控，导致注入。

1 y# t8 V( ~  ?3 {( R- T+ |攻击测试：
3 j, F3 D- p( k测试地址http://localhost
  注册会员seay并登陆。打开firebug工具HTML选项。修改birthday的name值为注入语句