PhpcmsV9 任意用户密码修改逻辑漏洞

大家一起学习下 提到的通行证的代码：

parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);

在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。 我把它留给了你们。 不知道你们发现了它没有。 我们知道parse_str类似将http请求转换成php变量的函数，所以，也像http请求在php的环境下一样，如果提交?a=sss&a=aaa，那么a的结果会是aaa，不是sss。 所以我们知道这个函数有一个问题了，如果后面提交一个内容，它会覆盖前面的。 也就是 username=zhangsan&username=lisi的话，那么用户名就不是zhangsan了。 要构造这样的请求，我们还是要回到通行证的client看看，我们有没有这样的机会。 其实我们有这样的机会，看看代码，如下：

public function auth_data($data) {

		$s = $sep = '';

		foreach($data as $k => $v) {

			if(is_array($v)) {

				$s2 = $sep2 = '';

				foreach($v as $k2 => $v2) {

						$s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);

					$sep2 = '&';

				}

				$s .= $sep.$s2;

			} else {

				$s .= "$sep$k=".$this->_ps_stripslashes($v);

			}

			$sep = '&';

		}



		$auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));

		return $auth_s;

	}

可能我没说明白，对，传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话，那么我就能重写这样的东西。 举个例子

$a[aaa=a&bbb] = 'a';

会变成aaa=a&bbb=a 明白了么，对，就是通过没有注意到的key，我们可以构造出多余的参数来。 这个时候，我们可以再去看一个函数。 就在这个文件内：

public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {

		if($email && !$this->_is_email($email)) {

			return -4;

		}

		return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));

	}

这是向通行证发了这样一个请求。 我们再跟到通信证代码里去看看，就会有所发现。

public function edit() {

//能省就省，太长了不是吗？



if($this->username) {

//如果提交了用户名，则按照用户名修改记录，反之，按照uid来修改记录。

				$res = $this->db->update($data, array('username'=>$this->username));

			} else {

				file_put_contents('typeb.txt',print_r($data,1).$this->uid);

				$res = $this->db->update($data, array('uid'=>$this->uid));

			}

好，我们知道了，如果提交了用户名，就会按照用户名来修改记录，不然就按照uid，我们看看函数结构：

public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')

很好，uid要是无法控制的话，后面只剩下一个random了，但是username就在第一个，只要email，password，newpassword，有任何一个可以控制，就可以修改密码了。 我当然找到了： phpcms9/phpcms/modules/member/index.php

$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);

然后就没有然后了。