phpcms v9 2013-02-01 会员中心注入漏洞分析报告

admin

报告名称：phpcms v9 2013-02-01 会员中心注入漏洞分析报告
漏洞作者：skysheep
分析作者：Seay
9 z1 _. _# `* S  X  u博客：http://www.cnseay.com/
5 D+ {/ Z8 ]- G" m7 _9 l0 ]漏洞分析:
  漏洞存在于 phpcms\modules\member\index.php 文件account_manage_info函数，其功能是更新会员信息。
5 _6 u' d' D( ~7 K9 i

) t' u' G- d6 d, e
public function account_manage_info() {  
       if(isset($_POST['dosubmit'])) {  
. J5 v$ q6 C+ H3 K9 X% r# q4 g           //更新用户昵称  
- }: u" d7 f. ^' \           $nickname = isset($_POST['nickname']) && trim($_POST['nickname']) ? trim($_POST['nickname']) : '';  
           if($nickname) {  
: s7 k" u( r& V# q# c3 ]              $this->db->update(array('nickname'=>$nickname), array('userid'=>$this->memberinfo['userid']));  
& T8 R# b- K' u% r2 @; {              if(!isset($cookietime)) {  
                  $get_cookietime = param::get_cookie('cookietime');  
              }  
9 j0 y. n! m& c! V. @6 ~: |              $_cookietime = $cookietime ? intval($cookietime) : ($get_cookietime ? $get_cookietime : 0);  
, i# p/ N9 T( Q  ^8 z- ^& A6 c4 o              $cookietime = $_cookietime ? TIME + $_cookietime : 0;  
              param::set_cookie('_nickname', $nickname, $cookietime);  
; ~; f& S4 Y2 Q& \9 m           }  
6 q# O. I6 {2 k( S) p$ ^           require_once CACHE_MODEL_PATH.'member_input.class.php';  
           require_once CACHE_MODEL_PATH.'member_update.class.php';  
           $member_input = new member_input($this->memberinfo['modelid']);  
9 }2 [, I1 ?( R8 \/ k* e% ?           $modelinfo = $member_input->get($_POST['info']);  
: i/ @$ H: |6 H9 j* X4 Q! l# E           $this->db->set_model($this->memberinfo['modelid']);  
           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
           if(!empty($membermodelinfo)) {  
; h: [" D7 X9 x5 R              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
. [2 a( f+ \4 X: h2 j/ E+ r. @           } else {  
              $modelinfo['userid'] = $this->memberinfo['userid'];  
              $this->db->insert($modelinfo);  
1 C1 a& l3 D. P( u/ l8 Q           }
代码中：$modelinfo = $member_input->get($_POST['info']);取得提交上来的会员模型中的字段，我们跟进member_input类中的get()函数看看，
: g4 Z* d6 d/ P% D5 S" x在\caches\caches_model\caches_data\ member_input.class.php 文件中：



) y) q. {* R: Ifunction get($data) {  
       $this->data = $data = trim_script($data);  
       $model_cache = getcache('member_model', 'commons');  
/ v' G5 |  c4 f2 m- F! }! ?       $this->db->table_name = $this->db_pre.$model_cache[$this->modelid]['tablename'];  
       $info = array();  
       $debar_filed = array('catid','title','style','thumb','status','islink','description');  
9 B- Q9 B% |8 m3 v, g# k       if(is_array($data)) {  
           foreach($data as $field=>$value) {  
3 w2 j9 w1 r8 A/ R              if($data['islink']==1 && !in_array($field,$debar_filed)) continue;  
              $name = $this->fields[$field]['name'];  
              $minlength = $this->fields[$field]['minlength'];  
              $maxlength = $this->fields[$field]['maxlength'];  
7 [& v* [$ s2 G# e* Q: j, n9 n              $pattern = $this->fields[$field]['pattern'];  
$ Q6 o8 `$ E0 l: q+ j              $errortips = $this->fields[$field]['errortips'];  
* M0 ~0 H, J5 s' i, y, S              if(empty($errortips)) $errortips = "$name 不符合要求！";  
5 @" y6 p7 x) {5 h( n: L: E              $length = empty($value) ? 0 : strlen($value);  
; G) m9 e$ ^5 ^( I& }, O/ S! J              if($minlength && $length < $minlength && !$isimport) showmessage("$name 不得少于 $minlength 个字符！");  
              if($maxlength && $length > $maxlength && !$isimport) {  
                  showmessage("$name 不得超过 $maxlength 个字符！");  
: s" Y, M  a$ I; z! r" J2 h              } else {  
                  str_cut($value, $maxlength);  
              }  
# n5 F9 l2 J! o( n  x              if($pattern && $length && !preg_match($pattern, $value) && !$isimport) showmessage($errortips);  
                if($this->fields[$field]['isunique'] && $this->db->get_one(array($field=>$value),$field) && ROUTE_A != 'edit') showmessage("$name 的值不得重复！");  
/ Z; n' _- E( t/ E4 _4 J              $func = $this->fields[$field]['formtype'];  
              if(method_exists($this, $func)) $value = $this->$func($field, $value);  
              $info[$field] = $value;  
/ b) _# D7 Q) z0 G1 r           }  
8 D  K: p+ i3 z0 ^4 p/ d+ F; X- b       }  
, p8 V0 e% l. n; f. |       return $info;  
; X# [" @8 L* R    }
. H- T$ y6 Z7 K/ B; E9 [trim_script函数是过滤XSS的，上面get函数一段代码干的事就是取提交上来的字段和值重新赋值到数组，

4 t. S5 V6 @1 o8 r  ]2 c  b+ x再到phpcms\modules\member\index.php 文件account_manage_info函数
: ]- x  ^( L3 L% q% S/ H过了get()函数之后。


5 M5 `0 }+ E/ Q) p# c( M( k/ b$modelinfo = $member_input->get($_POST['info']);  
8 a) L9 @) P, a" x" n           $this->db->set_model($this->memberinfo['modelid']);  
+ ]. Q! \' @# y- j           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
6 }5 Q9 G, W1 Q) \+ o5 u           if(!empty($membermodelinfo)) {  
              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
3 k4 ^/ `5 |: j           } else {
! L$ L" C" C* H+ }3 O. E8 o直接带入数据库，update函数我们跟进看看
1 k, I5 m; a3 q/ l$ r​

6 R. F" e- y9 \- \public function update($data, $table, $where = '') {  
/ r# T  x) c1 p  i       if($table == '' or $where == '') {  
           return false;  
. T* T( f( F! b" p1 H, v       }  
! [& s; w( f$ C- d: i5 j       $where = ' WHERE '.$where;  
       $field = '';  
3 |* ]0 X  C% _2 F/ O" Q+ ^       if(is_string($data) && $data != '') {  
- X4 w" _4 z. g& `1 g: V8 n5 r           $field = $data;  
       } elseif (is_array($data) && count($data) > 0) {  
           $fields = array();  
           foreach($data as $k=>$v) {  
) s. [% ~  d' u' n$ D7 a              switch (substr($v, 0, 2)) {  
% Q7 P+ g7 F& d  }& i7 Y- X                  case '+=':  
                     $v = substr($v,2);  
                     if (is_numeric($v)) {  
, U) |8 H- Z: k1 @# S1 w                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'+'.$this->escape_string($v, '', false);  
1 t6 x, K' W% w" W. h6 T/ P                     } else {  
                         continue;  
                     }  
* C( _5 `- h% U- I+ U                     break;  
                  case '-=':  
9 L2 Q) k3 s1 g( D                     $v = substr($v,2);  
                     if (is_numeric($v)) {  
                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'-'.$this->escape_string($v, '', false);  
) Q. V# v* z$ X! S$ A                     } else {  
                         continue;  
" _% {+ I' u4 t* n6 h                     }  
                     break;  
                  default:  
3 H0 A3 M/ v! U1 Z1 j7 e                     $fields[] = $this->add_special_char($k).'='.$this->escape_string($v);  
1 t, L8 B* {1 z6 g8 W  D4 r( X+ H0 _              }  
2 s4 K5 v# U% h7 c           }  
$ a$ O4 s" \+ z$ h: o  T6 i8 @( d           $field = implode(',', $fields);  
' G* {) Y, s  {2 d3 Z5 y       } else {  
           return false;  
       }  
8 A4 e4 S* \6 Y; O; n       $sql = 'UPDATE `'.$this->config['database'].'`.`'.$table.'` SET '.$field.$where;  
       print_r($sql);  
" a3 I. X; G5 o6 C3 R4 i  Z: n       return $this->execute($sql);  
, ^1 T; k* z6 ?' j    }
; X4 M( x. D* d) U4 T" |  ^3 p0 i从头到尾也是没有验证数据库是否存在数组中的字段，然后直接执行SQL语句。也就是说SQL语句中的字段我们可控，导致注入。
" Y9 c  [- F6 h% Z' a
, }2 `* ^2 E) L) T* y- a! k攻击测试：
测试地址http://localhost
* m8 _: p' I6 U7 @% O  注册会员seay并登陆。打开firebug工具HTML选项。修改birthday的name值为注入语句




0 K6 c! u; T3 [% _1 y6 w( `
- i% j: h& N4 n% e+ M5 ]0 Q