验证。参考漏洞:http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0152291.html

漏洞出现在/phpcms/modules/member/index.php   第1687-1756行

public_forget_password_username()函数

	public function public_forget_password_username() {

		$step = intval($_POST['step']);

		$step = max($step,1);

		$this->_session_start();

		if(isset($_POST['dosubmit']) && $step==2) {

		//处理提交申请,以手机号为准

			if ($_SESSION['code'] != strtolower($_POST['code'])) {

				showmessage(L('code_error'), HTTP_REFERER);

			}

			$username = safe_replace($_POST['username']);

			$r = $this->db->get_one(array('username'=>$username),'userid,email');

			if($r['email']=='') {

				$_SESSION['userid'] = '';

				$_SESSION['code'] = '';

				showmessage("该账号没有绑定手机号码,请选择其他方式找回!");

			} else {

				$_SESSION['userid'] = $r['userid'];

				$_SESSION['email'] = $r['email'];

			}

			$email_arr = explode('@',$r['email']);

			include template('member', 'forget_password_username');

		} elseif(isset($_POST['dosubmit']) && $step==3) {

			$sms_report_db = pc_base::load_model('sms_report_model');

			$mobile_verify = $_POST['mobile_verify'];

			$email = $_SESSION['email'];

			if($email){

				if(!preg_match('/^([a-z0-9_]+)@([a-z0-9_]+).([a-z]{2,6})$/',$email)) exit('check email error');

				if($_SESSION['emc_times']=='' || $_SESSION['emc_times']<=0){

					showmessage("验证次数超过5次,验证码失效,请重新获取邮箱验证码!",HTTP_REFERER,3000);

				}

				$_SESSION['emc_times'] = $_SESSION['emc_times']-1;

				if($_SESSION['emc']!='' && $_POST['email_verify']==$_SESSION['emc']) {

					$userid = $_SESSION['userid'];

					$updateinfo = array();

					$password = random(8,"23456789abcdefghkmnrstwxy");

					$encrypt = random(6,"23456789abcdefghkmnrstwxyABCDEFGHKMNRSTWXY");

					$updateinfo['encrypt'] = $encrypt;

					$updateinfo['password'] = password($password, $encrypt);

					$this->db->update($updateinfo, array('userid'=>$userid));

					$rs = $this->db->get_one(array('userid'=>$userid),'phpssouid');

					if(pc_base::load_config('system', 'phpsso')) {

						//初始化phpsso

						$this->_init_phpsso();

						$this->client->ps_member_edit('', '', '', $password, $rs['phpssouid'], $encrypt);

					}

					$_SESSION['email'] = '';

					$_SESSION['userid'] = '';

					$_SESSION['emc'] = '';

					$_SESSION['code'] = '';

					pc_base::load_sys_func('mail');

					sendmail($email, '密码重置通知', "您在".date('Y-m-d H:i:s')."通过密码找回功能,重置了本站密码。");

					include template('member', 'forget_password_username');

					exit;

				} else {

					showmessage("验证码错误!请重新获取!",HTTP_REFERER,3000);

				}

			} else {

				showmessage("非法请求!");

			}

		} else {

 			include template('member', 'forget_password_username');

		}

	}

 经历了第一步:

$step = intval($_POST['step']);
$step = max($step,1);
$this->_session_start();

这时候开启_session_start(),然后从phpcms_session取session的值,

然后在第二步时,验证下账户有没有绑定邮箱。然后就返回这个页面。点击获取邮箱校验码。



这时候的url是这样的。


/index.php?m=member&c=index&a=public_get_email_verify&session_code=ftrz&random=0.08188270693514244


执行public_get_email_verify()函数。




    public function public_get_email_verify() {

        pc_base::load_sys_func('mail');

        $this->_session_start();

        $code = $_SESSION['emc'] = random(8,"23456789abcdefghkmnrstwxy");

        $_SESSION['emc_times']=5;

        $message = '您的验证码为:'.$code;

        sendmail($_SESSION['email'], '邮箱找回密码验证', $message);

        echo '1';

    }

}





  然后随机生成$_SESSION['emc']的值,利用sendmail发送邮件,发完以后走第三步,验证校验码。


这时候的session中存在$_SESSION['emc']的值,也就是发送到邮件中的值。对于session,只要浏览器不关,session值就会一直存在本地,除非过期了。


然后我们退回到第一步,输入要重置的另一个账号,这时候的$_SESSION['emc']值是第一个账户的。


然后不走点击获取验证码,直接来到




elseif(isset($_POST['dosubmit']) && $step==3) {





  输入第一个账户的$_SESSION['emc']值,然后进行第三步校验,




if($_SESSION['emc']!='' && $_POST['email_verify']==$_SESSION['emc'])





  这时候的浏览器中的$_SESSION['emc']值我们是知道的,所以也能进入这个if,然后重置第二个账户的密码。


这个漏洞在phpcmsv9.6.0 中修复了,修复方案就是在第一步查询$username是否有绑定邮箱的时候加入两句话,清空$_SESSION['emc']的值,确保在重置当前账户的时候,session中的userid,email是用户所指定的。


												


											
PHPCMS v9.5.8-设计缺陷可重置前台任意用户密码的更多相关文章
	

    
								
  1. 代码审计-DedeCMS-V5.7前台任意用户密码重置
		
    0x01 漏洞影响 该漏洞允许攻击者修改任意前台用户密码. 0x02 漏洞利用条件 1,开启会员模块 2,攻击者拥有一个正常的会员账号 3,目标没有设置安全问题 0x03 漏洞分析 漏洞文件:/mem ...
    
		
    2. 
						
  2. zzcms8.2#任意用户密码重置#del.php时间盲注#复现
		
    00x0 引言 早上起来,发现seebug更新了一批新的洞, 发现zzcms8.2这个洞好多人在挖,于是我就默默的踏上了复现之路(要不是点进去要买详情,我何必这么折腾~) 环境:zzcms8.2(产品 ...
    
		
    3. 
						
  3. gitlab修改(重置)root用户密码
		
    gitlab修改(重置)root用户密码 1.使用root权限登录到服务器. 2.使用以下命令启动控制台:  gitlab-rails console production 该命令有时候启动比较慢,需 ...
    
		
    4. 
						
  4. PHPCMS v9.6.0 任意用户密码重置
		
    参考来源:http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0173130.html 他分析的好像不对.我用我的在分析一次. 先来看poc: /inde ...
    
		
    5. 
						
  5. 任意用户密码重置的十种姿势=====>学习笔记!
		
    原学习视频链接:https://www.butian.net/School/content?id=214%E2%80%98 1.验证码不失效 原因:获取的验证码缺少时间限制,仅判断验证码是否不正确而未 ...
    
		
    6. 
						
  6. 如何重置Gitlab root用户密码
		
    一.切换到root用户 sudo su 二.进入gitlab控制台 gitlab-rails console production 三.查找用户对象 user = User.).first 四.重置密 ...
    
		
    7. 
						
  7. Dbshop v1.3任意用户密码重置漏洞
		
    0x00 前言 年也过的差不多了,各自也都回到岗位忙碌起来了,新的一年祝大家诸事顺利,洞洞高危!好了进入正题 0x01 漏洞简介 本次主要写个简单的逻辑漏洞!然后抛个Message 内置高危. 1.找 ...
    
		
    8. 
						
  8. [典型漏洞分享]YS忘记密码机制设计存在缺陷,导致任意用户口令均可被修改【高】
		
    记录了安全测试过程中发现的一些典型的安全问题 YS忘记密码机制存在缺陷,可导致任意用户口令被修改[高] 问题描述: YS网站提供用户密码修改功能,当用户忘记密码时可通过该功能找回密码,但该修改密码的流 ...
    
		
    9. 
						
  9. ZZCMS8.2 用户密码重置漏洞
		
    前言 一个找回密码处的逻辑漏洞, 还是有点意思的. 正文 首先是定位找回密码功能对应的代码位置,使用找回密码的功能,然后抓包即可 下面去 getpassword.php 里面看看, 首先包含了一些文件 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. <经验杂谈>介绍Js简单的递归排列组合
			
    最近在开发SKU模块的时候,遇到这样一个需求,某种商品有N(用未知数N来表示是因为规格的数组由用户制定且随时可以编辑的,所以对程序来说,它是一个未知数)类规格,每一类规格又有M个规格值,各种规格值的组 ...
    
			
    2. 
						
  2. 『开源重编译』System.Data.SQLite.dll 自适应 x86 x64 AnyCPU 重编译
			
    背景: > System.Data.SQLite.dll 程序集 不能良好的支持 AngCPU 格式 System.Data.SQLite.dll 在 适应 x86 和 x64 有三个方案: & ...
    
			
    3. 
						
  3. String [] 转 List<String>
			
    整理笔记:String [] 转 List<String> String [] al = new String[]{"1","q","a& ...
    
			
    4. 
						
  4. 听翁恺老师mooc笔记(7)--字符串1
			
    C语言中字符串的定义 如果定义一个字符数组word,并使用大括号对其初始化,如下图所示: 但是这个不是C语言的字符串,只是字符数组,不是字符串,因为不能使用字符串的方式进行计算.那么C语言的字符串长什 ...
    
			
    5. 
						
  5. 团队第1次作业:Our Team TAH
			
     Team named TAH    不管一个人多么有才能,但是集体常常比他更聪明和更有力. --奥斯特洛夫斯基     *introduce team and teamate 先说说TAH的含义,是 ...
    
			
    6. 
						
  6. 团队作业2:需求分析&原型设计
			
    Deadline: 2017-11-5  22:00PM,以博客发表日期为准.   评分基准: 按时交 - 有分,检查的项目包括后文的三个方面 需求分析 原型设计 编码规范 晚交 - 0分 迟交两周以 ...
    
			
    7. 
						
  7. VMware安装时Error 1324. The path My Documents contains a invalid character的原因和解决方法
			
    终于找到了自己想要的答案,顶顶,吼吼~ 我今天安装VMware Workstation时,总是提示我Error 1324. The path My Documents contains a inval ...
    
			
    8. 
						
  8. 200行Python代码实现2048
			
    200行Python代码实现2048 一.实验说明 1. 环境登录 无需密码自动登录,系统用户名shiyanlou 2. 环境介绍 本实验环境采用带桌面的Ubuntu Linux环境,实验中会用到桌面 ...
    
			
    9. 
						
  9. ArcGIS地图打印那些事
			
    记录了通过ArcGIS的PringTask进行地图打印,以及借助html2canvas实现屏幕截图的方法.两个方法各有适用的情景.过程中涉及的相关资源和问题给出链接,自行查看. 1.需求背景 地图打印 ...
    
			
    10. 
						
  10. v7000数据恢复_MDisk重建数据恢复方法(北亚数据恢复)
			
    很多工程师都有这样的疑问,MDisk重建后还能不能恢复数据呢?应该怎么做才能恢复数据呢?本文这里就以IBM V7000存储为例,详细讲解因为某个MDisk被重建导致的数据丢失的恢复方法.我们本案例中的 ...
    
			
    11.