phpcms v9 2013-02-01 会员中心注入漏洞分析报告

admin

报告名称：phpcms v9 2013-02-01 会员中心注入漏洞分析报告
5 `. e3 g( T, \+ S漏洞作者：skysheep
. H3 f: O9 [9 i6 \分析作者：Seay
博客：http://www.cnseay.com/
+ A  C! u0 Z6 x漏洞分析:
+ Y7 o, }8 F6 K  q; ~* N/ N1 ^  漏洞存在于 phpcms\modules\member\index.php 文件account_manage_info函数，其功能是更新会员信息。
! k# B9 u8 x  E# M

" N! {( P6 h: @
public function account_manage_info() {  
       if(isset($_POST['dosubmit'])) {  
           //更新用户昵称  
) [8 R$ t- R5 R( S  U2 a3 v/ H           $nickname = isset($_POST['nickname']) && trim($_POST['nickname']) ? trim($_POST['nickname']) : '';  
           if($nickname) {  
  \* x) A+ x! V8 ^8 _$ _+ Q& W& t              $this->db->update(array('nickname'=>$nickname), array('userid'=>$this->memberinfo['userid']));  
0 j1 W' q7 d) L              if(!isset($cookietime)) {  
                  $get_cookietime = param::get_cookie('cookietime');  
2 P$ \0 w7 t3 G  l: ~% |( H              }  
              $_cookietime = $cookietime ? intval($cookietime) : ($get_cookietime ? $get_cookietime : 0);  
3 g- w  e) l& e6 K; G+ ^( u              $cookietime = $_cookietime ? TIME + $_cookietime : 0;  
              param::set_cookie('_nickname', $nickname, $cookietime);  
2 W9 J' n0 C( ~; n+ f/ X8 ]           }  
           require_once CACHE_MODEL_PATH.'member_input.class.php';  
           require_once CACHE_MODEL_PATH.'member_update.class.php';  
9 q, g9 ^; u7 d4 u- G5 [           $member_input = new member_input($this->memberinfo['modelid']);  
. q! |( r! e9 W1 D( V" H  w. I, D           $modelinfo = $member_input->get($_POST['info']);  
           $this->db->set_model($this->memberinfo['modelid']);  
! b8 Y; ]' n/ a2 N           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
, d. s8 ]" [/ C/ {' ^           if(!empty($membermodelinfo)) {  
6 v9 `8 \# ]. |* h/ U              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
           } else {  
) e9 G; c: u  _( ~* J              $modelinfo['userid'] = $this->memberinfo['userid'];  
              $this->db->insert($modelinfo);  
  }  d: f. ?0 J1 ^" k/ |           }
- C1 V) g# y" Y4 D3 u- t' |代码中：$modelinfo = $member_input->get($_POST['info']);取得提交上来的会员模型中的字段，我们跟进member_input类中的get()函数看看，
在\caches\caches_model\caches_data\ member_input.class.php 文件中：



function get($data) {  
       $this->data = $data = trim_script($data);  
       $model_cache = getcache('member_model', 'commons');  
       $this->db->table_name = $this->db_pre.$model_cache[$this->modelid]['tablename'];  
       $info = array();  
0 s# y  q/ H  I. x7 q       $debar_filed = array('catid','title','style','thumb','status','islink','description');  
       if(is_array($data)) {  
           foreach($data as $field=>$value) {  
* H2 f3 ~6 v9 E8 |              if($data['islink']==1 && !in_array($field,$debar_filed)) continue;  
              $name = $this->fields[$field]['name'];  
              $minlength = $this->fields[$field]['minlength'];  
! K* _; R% e6 M1 N9 O8 F              $maxlength = $this->fields[$field]['maxlength'];  
) ]* N3 Z7 ~8 Q3 s5 Y1 A& {              $pattern = $this->fields[$field]['pattern'];  
              $errortips = $this->fields[$field]['errortips'];  
              if(empty($errortips)) $errortips = "$name 不符合要求！";  
! O3 ]  |. S' w              $length = empty($value) ? 0 : strlen($value);  
              if($minlength && $length < $minlength && !$isimport) showmessage("$name 不得少于 $minlength 个字符！");  
              if($maxlength && $length > $maxlength && !$isimport) {  
* {- D5 D' g2 R  ]. Y- N                  showmessage("$name 不得超过 $maxlength 个字符！");  
9 V/ h7 i8 _* [# K              } else {  
- b7 V& r# _) X' ^) M' `6 n: {                  str_cut($value, $maxlength);  
              }  
              if($pattern && $length && !preg_match($pattern, $value) && !$isimport) showmessage($errortips);  
+ ~- t- [' u3 q2 u                if($this->fields[$field]['isunique'] && $this->db->get_one(array($field=>$value),$field) && ROUTE_A != 'edit') showmessage("$name 的值不得重复！");  
              $func = $this->fields[$field]['formtype'];  
: G& g1 W' E8 A2 [" t  ~              if(method_exists($this, $func)) $value = $this->$func($field, $value);  
) T4 Q, e$ `  ?9 f% n              $info[$field] = $value;  
           }  
       }  
       return $info;  
+ F: f" w0 E/ D5 \    }
trim_script函数是过滤XSS的，上面get函数一段代码干的事就是取提交上来的字段和值重新赋值到数组，

再到phpcms\modules\member\index.php 文件account_manage_info函数
过了get()函数之后。


$modelinfo = $member_input->get($_POST['info']);  
           $this->db->set_model($this->memberinfo['modelid']);  
           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
           if(!empty($membermodelinfo)) {  
' Z3 O% ^2 r. U2 ~% [              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
0 ^& M" \8 `  g: {/ |! H% J4 P+ D           } else {
: [- x9 B: K- R/ x/ f3 A直接带入数据库，update函数我们跟进看看
1 i) _% k& @  _+ K, F6 b# ?​

public function update($data, $table, $where = '') {  
       if($table == '' or $where == '') {  
2 p3 C2 H5 g" Q& B# X) G2 {           return false;  
, a* Y6 a- I  V9 q4 m0 b       }  
5 H& k3 O- U. q$ j" g       $where = ' WHERE '.$where;  
       $field = '';  
  g  g0 V# t9 i6 e* @) {       if(is_string($data) && $data != '') {  
( y+ X) u) q4 E3 y* R% ]           $field = $data;  
       } elseif (is_array($data) && count($data) > 0) {  
, n% e. S% x: _9 L4 ^( o           $fields = array();  
           foreach($data as $k=>$v) {  
" }: R( P+ ]: v! m              switch (substr($v, 0, 2)) {  
3 i3 L1 o2 w3 V4 t                  case '+=':  
$ p6 i9 K; d1 N                     $v = substr($v,2);  
0 ^: e- d8 S9 {6 U+ o' L+ u                     if (is_numeric($v)) {  
                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'+'.$this->escape_string($v, '', false);  
+ t" n9 v/ x2 R7 F3 d4 g                     } else {  
6 N& O/ l6 H/ J4 d: U" f3 i                         continue;  
) Q! s3 _+ q7 \2 p$ K% q# s. \; \                     }  
# e1 f4 w9 ^' c: `6 q  L# Q1 Z                     break;  
( [1 B, d8 ]) s3 q                  case '-=':  
                     $v = substr($v,2);  
                     if (is_numeric($v)) {  
                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'-'.$this->escape_string($v, '', false);  
0 F7 V' r( X8 v( Q0 k                     } else {  
, [) M2 x, ^$ C& e( L                         continue;  
0 G! X* z) ^; @4 `/ p                     }  
                     break;  
" A9 y0 ?3 `- N; e                  default:  
                     $fields[] = $this->add_special_char($k).'='.$this->escape_string($v);  
8 d* k3 R. V5 |5 n5 `              }  
           }  
           $field = implode(',', $fields);  
4 m  l5 w5 y8 a! F3 G       } else {  
# I4 k+ ]9 g0 F& {4 N3 Q           return false;  
       }  
4 u: e' I. @2 R+ x0 j' ^       $sql = 'UPDATE `'.$this->config['database'].'`.`'.$table.'` SET '.$field.$where;  
       print_r($sql);  
  {4 v: _3 D4 |4 b       return $this->execute($sql);  
5 _+ n1 E( D+ h  T. q; a! l$ x3 W    }
从头到尾也是没有验证数据库是否存在数组中的字段，然后直接执行SQL语句。也就是说SQL语句中的字段我们可控，导致注入。

攻击测试：
2 _6 |: E: G/ K! }  I4 K. Q$ p, F( e测试地址http://localhost
  注册会员seay并登陆。打开firebug工具HTML选项。修改birthday的name值为注入语句


+ H8 ?0 R7 x* U7 c
+ E# V7 K7 i) x/ A