phpcms v9 2013-02-01 会员中心注入漏洞分析报告

admin

报告名称：phpcms v9 2013-02-01 会员中心注入漏洞分析报告
漏洞作者：skysheep
3 g' N8 K4 p! h8 t$ B5 C6 E分析作者：Seay
博客：http://www.cnseay.com/
漏洞分析:
7 _) ^8 I! M& M  漏洞存在于 phpcms\modules\member\index.php 文件account_manage_info函数，其功能是更新会员信息。


0 ^" c5 a  F7 O" L
public function account_manage_info() {  
4 p* Y& X* U( F8 W       if(isset($_POST['dosubmit'])) {  
5 X, F( R. v1 {* T- a' ?           //更新用户昵称  
           $nickname = isset($_POST['nickname']) && trim($_POST['nickname']) ? trim($_POST['nickname']) : '';  
           if($nickname) {  
              $this->db->update(array('nickname'=>$nickname), array('userid'=>$this->memberinfo['userid']));  
              if(!isset($cookietime)) {  
                  $get_cookietime = param::get_cookie('cookietime');  
, X) v6 x& C5 W: `. ?) \9 |              }  
              $_cookietime = $cookietime ? intval($cookietime) : ($get_cookietime ? $get_cookietime : 0);  
: ?3 v0 y: Z, ]8 T4 D) g$ j              $cookietime = $_cookietime ? TIME + $_cookietime : 0;  
              param::set_cookie('_nickname', $nickname, $cookietime);  
4 P' h* v: O( B5 V' e4 y           }  
           require_once CACHE_MODEL_PATH.'member_input.class.php';  
           require_once CACHE_MODEL_PATH.'member_update.class.php';  
           $member_input = new member_input($this->memberinfo['modelid']);  
           $modelinfo = $member_input->get($_POST['info']);  
           $this->db->set_model($this->memberinfo['modelid']);  
' s$ G( h$ d- S1 W# U( K           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
           if(!empty($membermodelinfo)) {  
7 u2 b6 A# _# }5 L) t1 a              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
- ~+ ]- {. J7 f/ m6 A           } else {  
              $modelinfo['userid'] = $this->memberinfo['userid'];  
              $this->db->insert($modelinfo);  
0 a' U9 i9 H3 x6 r8 k, r% J           }
7 m9 e+ M7 A$ z8 W6 K  O代码中：$modelinfo = $member_input->get($_POST['info']);取得提交上来的会员模型中的字段，我们跟进member_input类中的get()函数看看，
  c8 _* j& S5 w7 |4 U在\caches\caches_model\caches_data\ member_input.class.php 文件中：
  B  L; C! @8 P2 X8 |
' ^7 T/ o/ ~8 h2 D
/ R' M$ l9 x- ^& _' D/ w1 M; h2 n
function get($data) {  
5 d6 `, D9 l: b  I! S       $this->data = $data = trim_script($data);  
       $model_cache = getcache('member_model', 'commons');  
       $this->db->table_name = $this->db_pre.$model_cache[$this->modelid]['tablename'];  
3 |  Y5 M5 E4 ~3 T' W, J       $info = array();  
       $debar_filed = array('catid','title','style','thumb','status','islink','description');  
/ B1 R) t! }8 h0 [" I. y6 c/ W* M       if(is_array($data)) {  
           foreach($data as $field=>$value) {  
! u: e" h0 W; K( E              if($data['islink']==1 && !in_array($field,$debar_filed)) continue;  
+ D' I! I. y0 w& a; ?5 \              $name = $this->fields[$field]['name'];  
* a" B9 {- M' W' I              $minlength = $this->fields[$field]['minlength'];  
1 p6 u( w- T# F              $maxlength = $this->fields[$field]['maxlength'];  
              $pattern = $this->fields[$field]['pattern'];  
1 {( N6 M  U7 K+ I# ~8 a: \) v# L              $errortips = $this->fields[$field]['errortips'];  
* q( z5 y+ J! D$ v# {4 j' F9 \& H              if(empty($errortips)) $errortips = "$name 不符合要求！";  
              $length = empty($value) ? 0 : strlen($value);  
6 p/ O. i2 b! I: \: T              if($minlength && $length < $minlength && !$isimport) showmessage("$name 不得少于 $minlength 个字符！");  
* I9 i7 e# ^+ |/ o, x              if($maxlength && $length > $maxlength && !$isimport) {  
                  showmessage("$name 不得超过 $maxlength 个字符！");  
              } else {  
                  str_cut($value, $maxlength);  
/ |* W! K0 [" C              }  
- u+ Z0 ]7 i8 t* S& x              if($pattern && $length && !preg_match($pattern, $value) && !$isimport) showmessage($errortips);  
, e! F3 c( T; N                if($this->fields[$field]['isunique'] && $this->db->get_one(array($field=>$value),$field) && ROUTE_A != 'edit') showmessage("$name 的值不得重复！");  
4 Y, Z$ T- {4 D# F              $func = $this->fields[$field]['formtype'];  
              if(method_exists($this, $func)) $value = $this->$func($field, $value);  
              $info[$field] = $value;  
           }  
       }  
       return $info;  
    }
6 _+ R- z- ?/ Z& Atrim_script函数是过滤XSS的，上面get函数一段代码干的事就是取提交上来的字段和值重新赋值到数组，

再到phpcms\modules\member\index.php 文件account_manage_info函数
过了get()函数之后。
! i* z5 V4 I( }4 L* _. w
' Q. H. k! C+ d  M
  }$ N* m1 X6 _7 q, w) F( ]$modelinfo = $member_input->get($_POST['info']);  
           $this->db->set_model($this->memberinfo['modelid']);  
           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
           if(!empty($membermodelinfo)) {  
              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
           } else {
直接带入数据库，update函数我们跟进看看
: E2 K" m) V. H4 J4 O. _3 E​
( \- t& Q( |& B, B; t% I9 p" V
public function update($data, $table, $where = '') {  
       if($table == '' or $where == '') {  
( z9 ^4 s& l) K  }8 t           return false;  
" F- t: T' W# T+ n4 U# g' p       }  
       $where = ' WHERE '.$where;  
  G9 A" H' X* t  _/ k( k       $field = '';  
, \/ N. O) Z% y( z& v+ `7 k  [       if(is_string($data) && $data != '') {  
           $field = $data;  
7 C+ o% s+ q7 s& ?) S8 N5 q       } elseif (is_array($data) && count($data) > 0) {  
4 x# k- j7 `4 U/ p5 {           $fields = array();  
           foreach($data as $k=>$v) {  
) t; U. U+ T7 E6 A& V4 F/ h6 ]/ U1 ]8 [              switch (substr($v, 0, 2)) {  
2 ^" s, P1 r2 a, b( k                  case '+=':  
                     $v = substr($v,2);  
" Z4 _6 w$ ~& Z- x  n                     if (is_numeric($v)) {  
4 m3 Q/ Z. d0 e5 M( X+ u* U                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'+'.$this->escape_string($v, '', false);  
; m6 O/ U* Y2 V& ^5 a" \                     } else {  
% l( v4 }" K* Y9 Q' Y/ g( J                         continue;  
9 Z2 g# N3 B5 q) `: E8 R; A' c) E                     }  
' o* C. e- I2 G# L4 f                     break;  
                  case '-=':  
                     $v = substr($v,2);  
6 r+ s; p% T4 ]+ H% l2 C& j" b                     if (is_numeric($v)) {  
                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'-'.$this->escape_string($v, '', false);  
6 p3 Z+ _( {% C: ^                     } else {  
  W9 Q$ N, Y; r' I                         continue;  
6 {9 }+ m; ]$ s/ Y                     }  
                     break;  
                  default:  
8 N  [6 [! l  Y4 R/ S6 t                     $fields[] = $this->add_special_char($k).'='.$this->escape_string($v);  
6 u  j% h( [" i* g' L8 L. |              }  
4 O8 B' l, |. r' [           }  
           $field = implode(',', $fields);  
+ \2 e$ N( U  ^       } else {  
           return false;  
4 l4 N: {% X% C: Q1 A& t1 T6 }       }  
& [( f& S0 I$ d. w0 t7 ~& }0 r2 K       $sql = 'UPDATE `'.$this->config['database'].'`.`'.$table.'` SET '.$field.$where;  
       print_r($sql);  
       return $this->execute($sql);  
    }
从头到尾也是没有验证数据库是否存在数组中的字段，然后直接执行SQL语句。也就是说SQL语句中的字段我们可控，导致注入。

攻击测试：
& A; I5 y; t/ y$ y测试地址http://localhost
/ q( E! _( P8 q% T0 s  注册会员seay并登陆。打开firebug工具HTML选项。修改birthday的name值为注入语句

) I' y. X( M, e  R- Z$ P
" w: Y5 H9 X3 d- Z3 ?

  P7 ^/ G0 d3 g* x1 j3 ]" y. J
  e" _% S) J6 {: j: b( ~/ v