phpcms v9 2013-02-01 会员中心注入漏洞分析报告

admin

报告名称：phpcms v9 2013-02-01 会员中心注入漏洞分析报告
! x; ~8 \( B5 L( n, {% u+ B9 A漏洞作者：skysheep
7 C' g6 j0 R# {% z( q9 T分析作者：Seay
8 p( {" {6 w6 d) [( F博客：http://www.cnseay.com/
漏洞分析:
  漏洞存在于 phpcms\modules\member\index.php 文件account_manage_info函数，其功能是更新会员信息。
6 a4 P2 d$ ?" ]+ A6 D( z


public function account_manage_info() {  
  V( A+ @9 Z7 L& h8 f! z; \* t       if(isset($_POST['dosubmit'])) {  
           //更新用户昵称  
           $nickname = isset($_POST['nickname']) && trim($_POST['nickname']) ? trim($_POST['nickname']) : '';  
: P! v( Y" D3 ?& Z4 H- ^           if($nickname) {  
              $this->db->update(array('nickname'=>$nickname), array('userid'=>$this->memberinfo['userid']));  
4 y0 g6 p' P6 t; [9 T; w2 ?              if(!isset($cookietime)) {  
                  $get_cookietime = param::get_cookie('cookietime');  
              }  
              $_cookietime = $cookietime ? intval($cookietime) : ($get_cookietime ? $get_cookietime : 0);  
              $cookietime = $_cookietime ? TIME + $_cookietime : 0;  
8 I, `1 |8 W3 B1 n% Q8 l4 V/ p              param::set_cookie('_nickname', $nickname, $cookietime);  
& o% U) g" y0 s* L2 i           }  
6 T! H& C* j/ g& f4 `1 n* w           require_once CACHE_MODEL_PATH.'member_input.class.php';  
% ~1 T/ ^/ t, Z           require_once CACHE_MODEL_PATH.'member_update.class.php';  
           $member_input = new member_input($this->memberinfo['modelid']);  
           $modelinfo = $member_input->get($_POST['info']);  
/ u7 h6 R) T" O8 P2 A" K2 D: y, w5 g           $this->db->set_model($this->memberinfo['modelid']);  
5 q. @1 T! y$ ~+ ~           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
           if(!empty($membermodelinfo)) {  
              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
           } else {  
              $modelinfo['userid'] = $this->memberinfo['userid'];  
- a- x8 h" o; Y5 S+ p" v              $this->db->insert($modelinfo);  
/ r! x+ Q. ^8 P           }
2 k' B3 c; v3 \2 w代码中：$modelinfo = $member_input->get($_POST['info']);取得提交上来的会员模型中的字段，我们跟进member_input类中的get()函数看看，
1 x$ y4 Z" h0 b6 K+ ]在\caches\caches_model\caches_data\ member_input.class.php 文件中：
& g4 `& X& X6 e" l0 K" T
$ J$ s' N- U4 S6 Y# K" [  E$ F# f
, T6 G; a- X7 o& G" f; x% ^
* P6 t, }0 k- Z, ^) @8 Rfunction get($data) {  
9 ~; Y5 T5 z  d' H& T( q- Z2 [& y       $this->data = $data = trim_script($data);  
       $model_cache = getcache('member_model', 'commons');  
       $this->db->table_name = $this->db_pre.$model_cache[$this->modelid]['tablename'];  
  H) g, ~, V" n7 Z& p       $info = array();  
3 n0 {) c0 L3 X0 f0 M- n% n; }       $debar_filed = array('catid','title','style','thumb','status','islink','description');  
       if(is_array($data)) {  
           foreach($data as $field=>$value) {  
5 }) m8 }* H4 }1 G5 o5 u9 A: z. e              if($data['islink']==1 && !in_array($field,$debar_filed)) continue;  
. C+ R6 o* T. D' l( {* [4 k              $name = $this->fields[$field]['name'];  
3 K4 g' N% B$ \2 b. O              $minlength = $this->fields[$field]['minlength'];  
  u# k! a4 @+ G% j0 d              $maxlength = $this->fields[$field]['maxlength'];  
& R6 L- D8 R0 n' o+ E, p              $pattern = $this->fields[$field]['pattern'];  
              $errortips = $this->fields[$field]['errortips'];  
              if(empty($errortips)) $errortips = "$name 不符合要求！";  
              $length = empty($value) ? 0 : strlen($value);  
6 u" }# u" ^2 ?- ~8 o! L: i. m              if($minlength && $length < $minlength && !$isimport) showmessage("$name 不得少于 $minlength 个字符！");  
              if($maxlength && $length > $maxlength && !$isimport) {  
! N( l+ x6 |0 e; F' a. b                  showmessage("$name 不得超过 $maxlength 个字符！");  
9 e2 C4 u( M+ p8 k9 F" F              } else {  
                  str_cut($value, $maxlength);  
6 S$ B8 [! W, d( t3 Y7 Y# @              }  
              if($pattern && $length && !preg_match($pattern, $value) && !$isimport) showmessage($errortips);  
! R: Q& F1 `- X6 ]4 l1 m* j                if($this->fields[$field]['isunique'] && $this->db->get_one(array($field=>$value),$field) && ROUTE_A != 'edit') showmessage("$name 的值不得重复！");  
              $func = $this->fields[$field]['formtype'];  
. v7 C1 _/ g, z# [! P; U              if(method_exists($this, $func)) $value = $this->$func($field, $value);  
: F4 `! j3 K( }0 m              $info[$field] = $value;  
2 b3 B, {" O; H           }  
3 A6 Z# e2 r0 M$ ^! G! \       }  
) O; h4 @0 o5 X       return $info;  
    }
4 o9 p6 P4 P" l7 N/ G+ K) o1 Strim_script函数是过滤XSS的，上面get函数一段代码干的事就是取提交上来的字段和值重新赋值到数组，
2 J3 Z4 N1 `3 O7 j, `7 s
再到phpcms\modules\member\index.php 文件account_manage_info函数
' C- r( }9 T. I0 x1 g) S- n过了get()函数之后。


% H) _  |/ w. g: D# ~3 M. O$modelinfo = $member_input->get($_POST['info']);  
; K. F$ r- L! M' ~; c           $this->db->set_model($this->memberinfo['modelid']);  
           $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));  
           if(!empty($membermodelinfo)) {  
              $this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid']));  
: H% ~# d) w8 K% A; h1 P) D           } else {
' Z; V  ~, p  p% X直接带入数据库，update函数我们跟进看看
​
/ K3 n' b# f' E: C: ?# }+ a$ E
public function update($data, $table, $where = '') {  
       if($table == '' or $where == '') {  
. L  i7 [, C6 t- i# }           return false;  
+ q! u( U- r* F. X; C7 ~4 g. x       }  
       $where = ' WHERE '.$where;  
       $field = '';  
       if(is_string($data) && $data != '') {  
           $field = $data;  
       } elseif (is_array($data) && count($data) > 0) {  
0 S$ o2 P" r: |           $fields = array();  
9 ]' w0 `, w9 B4 R. y$ e, ~           foreach($data as $k=>$v) {  
; E9 S. {" F5 L; E  h              switch (substr($v, 0, 2)) {  
) q0 a! t" q+ E  l% w4 V2 W                  case '+=':  
                     $v = substr($v,2);  
                     if (is_numeric($v)) {  
4 l$ q% C6 {4 b                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'+'.$this->escape_string($v, '', false);  
9 d7 t4 y9 p0 S2 X, E( g                     } else {  
! V; N9 F2 `" _3 ~$ `                         continue;  
# k$ u9 l' D' Q- z, q. J* Q& K                     }  
3 O- M4 s+ U8 Z4 ~1 @                     break;  
                  case '-=':  
! i8 s) k) t! K                     $v = substr($v,2);  
1 v4 ?$ o9 u/ ?                     if (is_numeric($v)) {  
8 \, I' }3 `  j4 d0 u( L/ W$ z                         $fields[] = $this->add_special_char($k).'='.$this->add_special_char($k).'-'.$this->escape_string($v, '', false);  
. N1 U" {8 ], L$ e/ J' k                     } else {  
0 P2 j2 u. X  H( K                         continue;  
                     }  
; M2 h) a( m; V6 t                     break;  
                  default:  
2 V" r4 l  p$ l' |                     $fields[] = $this->add_special_char($k).'='.$this->escape_string($v);  
              }  
           }  
! O, o9 e& \* Q; o8 L2 E           $field = implode(',', $fields);  
       } else {  
' U$ G$ @5 E  Y7 F: O( x# v           return false;  
       }  
- |2 A: Q) }0 E; _) Z8 ?1 T       $sql = 'UPDATE `'.$this->config['database'].'`.`'.$table.'` SET '.$field.$where;  
" u# y; P8 ?2 h9 \4 |* G; c9 w- R1 A       print_r($sql);  
6 q+ w% Y9 z5 q3 T& {& s       return $this->execute($sql);  
    }
" x% _9 u9 ~" }/ j  J! A  l6 m从头到尾也是没有验证数据库是否存在数组中的字段，然后直接执行SQL语句。也就是说SQL语句中的字段我们可控，导致注入。
: J! }' R7 f) r9 H1 i  C4 ~- z
攻击测试：
测试地址http://localhost
  注册会员seay并登陆。打开firebug工具HTML选项。修改birthday的name值为注入语句

' r9 i; b$ P  e* ~6 W3 ^/ z

! h" F9 X8 r0 k9 b3 w( `$ W+ B0 B
9 e! v3 N5 Y0 i% z, y
' x- M' o$ D, J+ ~2 v5 J