phpcms v9 2013-02-01 会员中心注入漏洞分析报告

admin

报告名称：phpcms v9 2013-02-01 会员中心注入漏洞分析报告
9 s9 L' Q# ?, \: i- [- y; O' a$ h# Z2 O漏洞作者：skysheep
( f+ G5 p: _. L- P- L分析作者：Seay
博客：http://www.cnseay.com/
/ c0 M: a) t) l' B漏洞分析:
1 X- k4 }' b+ u9 F5 F: u  漏洞存在于 phpcms\modules\member\index.php 文件account_manage_info函数，其功能是更新会员信息。



3 T7 S8 u7 e( S$ w. n5 bpublic function account_manage_info() {  
5 Z2 D1 a" m2 J& Z       if(isset($_POST['dosubmit'])) {  
* b' d3 p* }& n3 D           //更新用户昵称  
3 P) z; \: c3 N: M: W& _: U           $nickname = isset($_POST['nickname']) && trim($_POST['nickname']) ? trim($_POST['nickname']) : '';  
           if($nickname) {  
              $this->db->update(array('nickname'=>$nickname), array('userid'=>$this->memberinfo['userid']));  
              if(!isset($cookietime)) {  
5 [' H. z) D4 ^                  $get_cookietime = param::get_cookie('cookietime');  
              }  
: P  i6 f3 a" S9 B              $_cookietime = $cookietime ? intval($cookietime) : ($get_cookietime ? $get_cookietime : 0);  
              $cookietime = $_cookietime ? TIME + $_cookietime : 0;  
1 q% x" y  O' }; p2 C+ U, u              param::set_cookie('_nickname', $nickname, $cookietime);  
# L6 P( \' G9 T: q2 ]: j0 v           }  
' x5 _# m" ]; e; b1 K& L" H# d           require_once CACHE_MODEL_PATH.'member_input.class.php';  
3 z, w# ?/ y) m1 K, _% |           require_once CACHE_MODEL_PATH.'member_update.class.php';  
5 y6 l; v' G% W- o8 V: L" ~           $member_input = new member_input($this->memberinfo['modelid']);  
           $modelinfo = $member_input->get($_POST['info']);  
           $this->db->set_model($this->memberinfo['modelid']);  
           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
# B5 m/ c* }( G( O$ S0 ^2 v           if(!empty($membermodelinfo)) {  
# ]  q+ T. M& D              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
# H  Y( [9 ?: I) Z# V           } else {  
              $modelinfo['userid'] = $this->memberinfo['userid'];  
' E3 W- \8 U' S, ^$ n              $this->db->insert($modelinfo);  
, d/ K5 ^' C% [; T: q' h           }
; N) r2 h* ?. c/ z! B( j代码中：$modelinfo = $member_input->get($_POST['info']);取得提交上来的会员模型中的字段，我们跟进member_input类中的get()函数看看，
* C8 u% R0 z0 Q$ h( s: K) h在\caches\caches_model\caches_data\ member_input.class.php 文件中：

) x- l$ y! N6 A3 U$ E2 A2 {& w
' b- |' e% A6 I) V
function get($data) {  
       $this->data = $data = trim_script($data);  
       $model_cache = getcache('member_model', 'commons');  
       $this->db->table_name = $this->db_pre.$model_cache[$this->modelid]['tablename'];  
       $info = array();  
       $debar_filed = array('catid','title','style','thumb','status','islink','description');  
       if(is_array($data)) {  
           foreach($data as $field=>$value) {  
8 x# ?) T( }0 t8 K! Z: l% I- _0 |- c              if($data['islink']==1 && !in_array($field,$debar_filed)) continue;  
! y3 X) ?6 E( G' A& E              $name = $this->fields[$field]['name'];  
              $minlength = $this->fields[$field]['minlength'];  
              $maxlength = $this->fields[$field]['maxlength'];  
, o7 i9 M$ [; X) U2 Z              $pattern = $this->fields[$field]['pattern'];  
$ F; S1 `9 [. B9 `! @1 R& G, l              $errortips = $this->fields[$field]['errortips'];  
9 g, E6 y- {7 w" n9 q: c. _2 s              if(empty($errortips)) $errortips = "$name 不符合要求！";  
              $length = empty($value) ? 0 : strlen($value);  
0 A4 n" w, V, U9 H( ^              if($minlength && $length < $minlength && !$isimport) showmessage("$name 不得少于 $minlength 个字符！");  
              if($maxlength && $length > $maxlength && !$isimport) {  
1 ]' a6 p# D- |8 [                  showmessage("$name 不得超过 $maxlength 个字符！");  
+ ?5 {7 N0 @. L. X) C, n$ B  k/ _              } else {  
8 I  X6 n7 M- i! j$ O8 M+ j' y6 Q# O                  str_cut($value, $maxlength);  
              }  
# n9 p# O: i  j              if($pattern && $length && !preg_match($pattern, $value) && !$isimport) showmessage($errortips);  
5 ^+ u# z' b0 h: n$ t                if($this->fields[$field]['isunique'] && $this->db->get_one(array($field=>$value),$field) && ROUTE_A != 'edit') showmessage("$name 的值不得重复！");  
" {, F. r  x' g# g: f              $func = $this->fields[$field]['formtype'];  
: }% F6 I+ ?  M6 ~: ^              if(method_exists($this, $func)) $value = $this->$func($field, $value);  
              $info[$field] = $value;  
           }  
0 F% ]6 o9 `( L8 ~3 r: W* {( l  E       }  
       return $info;  
    }
, K! V" U6 @( D9 @* G/ B: }trim_script函数是过滤XSS的，上面get函数一段代码干的事就是取提交上来的字段和值重新赋值到数组，
& ^7 C6 v4 ]: h$ U
再到phpcms\modules\member\index.php 文件account_manage_info函数
过了get()函数之后。
4 ~" o/ @* J- t) v- m- B
; c' w3 n" G- d, t
$modelinfo = $member_input->get($_POST['info']);  
' M( I$ S3 ~, v  F) G           $this->db->set_model($this->memberinfo['modelid']);  
           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
           if(!empty($membermodelinfo)) {  
4 ]  y6 K- L  X7 q7 k$ D7 ]              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
- @, ^! w$ L) m3 B2 W* `; d' O           } else {
$ v# t5 l/ w* i( K! p$ e5 |$ v直接带入数据库，update函数我们跟进看看
. w& \7 a/ R: T8 A3 r​

public function update($data, $table, $where = '') {  
       if($table == '' or $where == '') {  
           return false;  
       }  
       $where = ' WHERE '.$where;  
       $field = '';  
# g3 E+ x/ U1 C+ y       if(is_string($data) && $data != '') {  
           $field = $data;  
+ u- J5 ]6 `! D/ k       } elseif (is_array($data) && count($data) > 0) {  
           $fields = array();  
           foreach($data as $k=>$v) {  
& Y" m. z/ u1 p, L% o& P              switch (substr($v, 0, 2)) {  
                  case '+=':  
* n8 N: }3 D3 M9 m' ?/ _                     $v = substr($v,2);  
* j. u' V0 L8 a2 o' n1 {6 W6 \6 q                     if (is_numeric($v)) {  
5 {3 k- ]# r0 Y" |4 r                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'+'.$this->escape_string($v, '', false);  
                     } else {  
* u+ A& E+ I5 ?# p  W+ e. `                         continue;  
4 G( p; [9 y( {1 j( _/ ?                     }  
, r6 q1 L; }1 W) ^7 o- o  k4 X$ g                     break;  
, E1 E3 T3 a  _                  case '-=':  
                     $v = substr($v,2);  
, F4 I4 Z: X" l                     if (is_numeric($v)) {  
. l8 ?8 I0 N3 j$ d4 L2 S( X                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'-'.$this->escape_string($v, '', false);  
, `/ s$ q& Y# N! q9 v7 x                     } else {  
                         continue;  
6 A" ^& F! m: s3 Z8 d( S/ i# b5 p                     }  
                     break;  
                  default:  
                     $fields[] = $this->add_special_char($k).'='.$this->escape_string($v);  
              }  
           }  
2 b* S2 H+ o* P( Q, ]) Q7 d           $field = implode(',', $fields);  
  X- z" U' C$ J# n       } else {  
8 ^' |2 ?3 O7 p4 f           return false;  
       }  
4 G/ k0 A; b  @       $sql = 'UPDATE `'.$this->config['database'].'`.`'.$table.'` SET '.$field.$where;  
& D3 Z2 |0 C, O, ]) [( ]6 G       print_r($sql);  
2 E* a; G, G1 J/ x/ @       return $this->execute($sql);  
    }
从头到尾也是没有验证数据库是否存在数组中的字段，然后直接执行SQL语句。也就是说SQL语句中的字段我们可控，导致注入。
& q7 J0 u9 E$ Q5 I( f) e2 P
4 N: n( K- }* E+ X, b) R9 z攻击测试：
测试地址http://localhost
  注册会员seay并登陆。打开firebug工具HTML选项。修改birthday的name值为注入语句


8 _9 E* G- n" [" ^


: S  l. f3 H5 Z8 v' ~$ |