關于phpwind 5.01-5.3 0day的分析文章
2024-05-04 23:03:42
供稿:網友
注冊會員,創建你的web開發資料庫,今天要luoluo牛抓了下包,這個漏洞挺牛的 :)
passport_client.php 里變量沒有初始化可以繞過那些判斷:
if(!$passport_ifopen || $passport_type != 'client'){
exit("passport closed(phpwind)");
}//提交:passport_ifopen =1&passport_type=client繞過
if(md5($action.$userdb.$forward.$passport_key) != $verify){
exit('illegal request(phpwind)');
} //里面的變量都可以自定義,所以你可以sy一下繞過
parse_str(strcode($userdb,'decode'),$userdb); //注意strcode($userdb,'decode'),所以你要把你提交的變量$userdb,strcode($userdb,'decode')編碼一下
if($action=='login'){//提交action=login
if(!$userdb['time'] || !$userdb['username'] || !$userdb['password']){
exit("lack of parameters(phpwind)");
}//提交的 $userdb解碼以后要有這些數據
if($timestamp-$userdb['time']>3600){
exit('passport request expired(phpwind)');
}//提交時間userdb['time'] 大一點
.....
$rt=$db->get_one("select uid $sql from pw_members where username='$userdb[username]'");
if($rt){ //如果有這個用戶的話調用下面的語句修改密碼等
$sql && $db->update("update pw_members set $sql where uid='$rt[uid]'");
$sql2 && $db->update("update pw_memberdata set $sql2 where uid='$rt[uid]'");
}else{//如果沒有這個用戶就會調用下面的增加一個
$db->update("replace into pw_members($sql1,groupid,memberid,gender,regdate,signchange) values($sql2,'-1','8','0','$timestamp','1')");
