phpcms v9 2013-02-01 会员中心注入漏洞分析报告

admin

报告名称：phpcms v9 2013-02-01 会员中心注入漏洞分析报告
漏洞作者：skysheep
分析作者：Seay
% s  u3 Q2 ?7 @6 O3 M& C, k8 c博客：http://www.cnseay.com/
* o4 O: n" m/ x. Q- [" j- H# f漏洞分析:
  漏洞存在于 phpcms\modules\member\index.php 文件account_manage_info函数，其功能是更新会员信息。
0 }1 A* _' _/ T, d! Q! [

9 X8 [$ z0 c- j0 F( ], H
public function account_manage_info() {  
       if(isset($_POST['dosubmit'])) {  
           //更新用户昵称  
6 r* I9 U! i1 ?           $nickname = isset($_POST['nickname']) && trim($_POST['nickname']) ? trim($_POST['nickname']) : '';  
2 p4 M  q! c/ C- `2 r8 H( ?2 q+ i           if($nickname) {  
              $this->db->update(array('nickname'=>$nickname), array('userid'=>$this->memberinfo['userid']));  
              if(!isset($cookietime)) {  
                  $get_cookietime = param::get_cookie('cookietime');  
2 w2 N2 Y, e, U  ], _' R& W  ?              }  
              $_cookietime = $cookietime ? intval($cookietime) : ($get_cookietime ? $get_cookietime : 0);  
              $cookietime = $_cookietime ? TIME + $_cookietime : 0;  
              param::set_cookie('_nickname', $nickname, $cookietime);  
           }  
) L; ?- o7 l9 p8 H6 t* l           require_once CACHE_MODEL_PATH.'member_input.class.php';  
! V: d* ^: f$ k; ~) c* K$ @; H- Z           require_once CACHE_MODEL_PATH.'member_update.class.php';  
% X' _8 b9 L' i7 X/ K' K8 l+ b+ z           $member_input = new member_input($this->memberinfo['modelid']);  
           $modelinfo = $member_input->get($_POST['info']);  
# t+ ^2 A' a& b& E3 }  K* R           $this->db->set_model($this->memberinfo['modelid']);  
) [. p, c* ]# M" t           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
3 d( U" v5 o3 P: G           if(!empty($membermodelinfo)) {  
              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
           } else {  
5 C% N5 A; Y1 F* ^              $modelinfo['userid'] = $this->memberinfo['userid'];  
" H+ d+ G, y" Z, Y4 j7 |' e$ C( O              $this->db->insert($modelinfo);  
           }
代码中：$modelinfo = $member_input->get($_POST['info']);取得提交上来的会员模型中的字段，我们跟进member_input类中的get()函数看看，
在\caches\caches_model\caches_data\ member_input.class.php 文件中：



" V% i+ w. o0 v- Ufunction get($data) {  
' Z! D) r" B9 X+ [9 \7 v" T       $this->data = $data = trim_script($data);  
" z2 [5 \. O# A/ D       $model_cache = getcache('member_model', 'commons');  
       $this->db->table_name = $this->db_pre.$model_cache[$this->modelid]['tablename'];  
0 X% ^: p9 K7 F' X: @" S       $info = array();  
+ H" |& g0 W6 c5 R9 O       $debar_filed = array('catid','title','style','thumb','status','islink','description');  
       if(is_array($data)) {  
           foreach($data as $field=>$value) {  
              if($data['islink']==1 && !in_array($field,$debar_filed)) continue;  
9 x: B7 l2 J/ z& ?' J' \: [              $name = $this->fields[$field]['name'];  
              $minlength = $this->fields[$field]['minlength'];  
              $maxlength = $this->fields[$field]['maxlength'];  
6 g  O  n% R$ m8 c              $pattern = $this->fields[$field]['pattern'];  
- d. g3 v6 U+ {) o, ?              $errortips = $this->fields[$field]['errortips'];  
              if(empty($errortips)) $errortips = "$name 不符合要求！";  
0 T5 Z" n- J! t3 n/ u              $length = empty($value) ? 0 : strlen($value);  
              if($minlength && $length < $minlength && !$isimport) showmessage("$name 不得少于 $minlength 个字符！");  
/ u  P$ R8 H8 m4 v: H) P0 l              if($maxlength && $length > $maxlength && !$isimport) {  
5 C0 E* H/ m* T$ H! T! j2 V; z                  showmessage("$name 不得超过 $maxlength 个字符！");  
              } else {  
                  str_cut($value, $maxlength);  
              }  
& C+ C/ }( F  q" @- c              if($pattern && $length && !preg_match($pattern, $value) && !$isimport) showmessage($errortips);  
                if($this->fields[$field]['isunique'] && $this->db->get_one(array($field=>$value),$field) && ROUTE_A != 'edit') showmessage("$name 的值不得重复！");  
              $func = $this->fields[$field]['formtype'];  
              if(method_exists($this, $func)) $value = $this->$func($field, $value);  
              $info[$field] = $value;  
# _- h1 Q3 z' H           }  
" `; U/ X3 E3 t5 Q2 P' F       }  
/ ?1 e9 I/ o, M2 K1 n       return $info;  
    }
* A+ |4 _, ^, f/ itrim_script函数是过滤XSS的，上面get函数一段代码干的事就是取提交上来的字段和值重新赋值到数组，

0 \# `; h' W6 P再到phpcms\modules\member\index.php 文件account_manage_info函数
过了get()函数之后。
/ M9 j! }; v1 j8 u  z

) j6 A) ]0 ]. e' c3 D$modelinfo = $member_input->get($_POST['info']);  
5 X$ L  Y8 ?3 s+ x           $this->db->set_model($this->memberinfo['modelid']);  
2 V5 o- p, B, W$ M9 {2 U           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
           if(!empty($membermodelinfo)) {  
              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
           } else {
直接带入数据库，update函数我们跟进看看
& r+ `/ K$ M0 s9 k+ j1 t​
  W- O5 s4 }) x  ~+ r! h* F
0 M9 Q; o' T, j$ @1 Q  Gpublic function update($data, $table, $where = '') {  
0 R: L, O; }5 R+ H8 T+ c5 d- q  N       if($table == '' or $where == '') {  
           return false;  
       }  
       $where = ' WHERE '.$where;  
       $field = '';  
4 S2 {3 n7 e: \       if(is_string($data) && $data != '') {  
: `' N* Q1 ^* H0 K+ K; t, V4 j           $field = $data;  
       } elseif (is_array($data) && count($data) > 0) {  
% M3 k, d1 N3 m/ `& J" s* I4 G           $fields = array();  
           foreach($data as $k=>$v) {  
. I0 U& a. K* ~              switch (substr($v, 0, 2)) {  
: G( r' K( e* I4 V: a6 S; @                  case '+=':  
' A8 S4 }1 Q4 W) e4 ~$ l4 z                     $v = substr($v,2);  
                     if (is_numeric($v)) {  
* P2 e1 b/ j: g; c                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'+'.$this->escape_string($v, '', false);  
                     } else {  
. U9 d1 V0 s7 t& u9 \                         continue;  
& ?4 Q* Q8 I/ T! d4 ~                     }  
                     break;  
                  case '-=':  
" k, m4 V; m( w: @  q  M: |+ ?                     $v = substr($v,2);  
6 p! q5 [( V7 Y+ Y$ P3 V. a1 r. R' ?                     if (is_numeric($v)) {  
$ V7 ]2 Z+ s. v8 E                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'-'.$this->escape_string($v, '', false);  
                     } else {  
                         continue;  
+ D* a$ @) n- S( J                     }  
# K& [3 f. \1 s+ [/ n( k- t                     break;  
: P% ~' @3 F9 v1 @                  default:  
& |/ T% q. ^' [9 N                     $fields[] = $this->add_special_char($k).'='.$this->escape_string($v);  
              }  
           }  
           $field = implode(',', $fields);  
& Q' B" h& q2 b9 G1 t: L       } else {  
) \( f; ~) S* d7 [           return false;  
! m. R) N1 b: `% P5 }2 s- j4 ?+ ^! |       }  
& n& H3 X7 I. L) G2 k, U       $sql = 'UPDATE `'.$this->config['database'].'`.`'.$table.'` SET '.$field.$where;  
, o2 q5 A1 B% R$ w; w3 E       print_r($sql);  
       return $this->execute($sql);  
: Q0 H9 R! I5 Z/ G8 }0 u0 K" K    }
7 W: b8 l. q* c+ L. i. b从头到尾也是没有验证数据库是否存在数组中的字段，然后直接执行SQL语句。也就是说SQL语句中的字段我们可控，导致注入。

" N; M5 X3 H& e, U( }7 o8 L攻击测试：
测试地址http://localhost
6 |) w8 I  D9 G2 M& W  X  注册会员seay并登陆。打开firebug工具HTML选项。修改birthday的name值为注入语句
% s+ m: A# U/ v7 r2 x4 Y5 H


' k- @7 n  z( o- P: G