phpissign为false,phpshe注入漏洞(目测通杀)

起因文件include\plugin\payway\alipay\return_url_db.php:这是一个付款的调用文件$alipayNotify &＃61; new AlipayNotify($alipay_config);

$verify_result &＃61; $alipayNotify->verifyReturn();

//验证成功

if ($verify_result) {

//商户订单号

$out_trade_no &＃61; $_GET[&＃39;out_trade_no&＃39;];

echo $out_trade_no;

//支付宝交易号

$trade_no &＃61; $_GET[&＃39;trade_no&＃39;];

$info &＃61; $db->pe_select(&＃39;order&＃39;, array(&＃39;order_id&＃39;&＃61;>$out_trade_no));

if ($_GET[&＃39;trade_status&＃39;] &＃61;&＃61; &＃39;WAIT_SELLER_SEND_GOODS&＃39;) {

if ($info[&＃39;order_state&＃39;] &＃61;&＃61; &＃39;notpay&＃39;) {

$order[&＃39;order_outid&＃39;] &＃61; $trade_no;

$order[&＃39;order_payway&＃39;] &＃61; &＃39;alipay_db&＃39;;

$order[&＃39;order_state&＃39;] &＃61; &＃39;paid&＃39;;

$order[&＃39;order_ptime&＃39;] &＃61; time();

$db->pe_update(&＃39;order&＃39;, array(&＃39;order_id&＃39;&＃61;>$out_trade_no), $order);

}

一般我会先去证明漏洞是否存在然后再看上面的验证条件(首先这里肯定不是必须管理员情况下才能够利用),这里用了最简单的GET获取直接带入pe_select(跟人)public function pe_select($table, $where &＃61; &＃39;&＃39;, $field &＃61; &＃39;*&＃39;)

{

//处理条件语句

$sqlwhere &＃61; $this->_dowhere($where);

return $this->sql_select("select {$field} from &＃96;".dbpre."{$table}&＃96; {$sqlwhere} limit 1");

}

继续跟进_dowhereprotected function _dowhere($where)

{

if (is_array($where)) {

foreach ($where as $k &＃61;> $v) {

$k &＃61; str_ireplace(&＃39;&＃96;&＃39;, &＃39;&＃39;, $k);

if (is_array($v)) {

$where_arr[] &＃61; "&＃96;{$k}&＃96; in(&＃39;".implode("&＃39;,&＃39;", $v)."&＃39;)";

}

else {

in_array($k, array(&＃39;order by&＃39;, &＃39;group by&＃39;)) ? ($sqlby &＃61; " {$k} {$v}") : ($where_arr[] &＃61; "&＃96;{$k}&＃96; &＃61; &＃39;{$v}&＃39;");

}

}

$sqlwhere &＃61; is_array($where_arr) ? &＃39;where &＃39;.implode($where_arr, &＃39; and &＃39;).$sqlby : $sqlby;

}

else {

$where && $sqlwhere &＃61; (stripos(trim($where), &＃39;order by&＃39;) &＃61;&＃61;&＃61; 0 or stripos(trim($where), &＃39;group by&＃39;) &＃61;&＃61;&＃61; 0) ? "{$where}" : "where 1 {$where}";

}

return $sqlwhere;

}

可以看到这里面并没有应用到安全函数,只是对内容进行一些简单的链接,分割等操作public function sql_select($sql)

{

$row &＃61; array();

return $row &＃61; $this->fetch_assoc($this->query($sql));

}

而在sql_select函数中就直接执行查询了,所以可以肯定漏洞存在,那么现在就是绕过上面的判断

跟进verifyReturn看看

判断文件&＃xff1a;/include/plugin/payway/alipay/lib/alipay_notify.class.phpfunction verifyReturn(){

if(empty($_GET)) {//判断POST来的数组是否为空

return false;

}

else {

//生成签名结果

$isSign &＃61; $this->getSignVeryfy($_GET, $_GET["sign"]);

//获取支付宝远程服务器ATN结果(验证是否是支付宝发来的消息)

$responseTxt &＃61; &＃39;true&＃39;;

if (! empty($_GET["notify_id"])) {$responseTxt &＃61; $this->getResponse($_GET["notify_id"]);}

//写日志记录

//if ($isSign) {

// $isSignStr &＃61; &＃39;true&＃39;;

//}

//else {

// $isSignStr &＃61; &＃39;false&＃39;;

//}

//$log_text &＃61; "responseTxt&＃61;".$responseTxt."\n return_url_log:isSign&＃61;".$isSignStr.",";

//$log_text &＃61; $log_text.createLinkString($_GET);

//logResult($log_text);

//验证

//$responsetTxt的结果不是true&＃xff0c;与服务器设置问题、合作身份者ID、notify_id一分钟失效有关

//isSign的结果不是true&＃xff0c;与安全校验码、请求时的参数格式(如&＃xff1a;带自定义参数等)、编码格式有关

if (preg_match("/true$/i",$responseTxt) && $isSign) {

return true;

} else {

return false;

}

}

}

函数开始先判断GET是否为空,我们跟入看看function getSignVeryfy($para_temp, $sign) {

//除去待签名参数数组中的空值和签名参数

$para_filter &＃61; paraFilter($para_temp);

//对待签名参数数组排序

$para_sort &＃61; argSort($para_filter);

//把数组所有元素&＃xff0c;按照“参数&＃61;参数值”的模式用“&”字符拼接成字符串

$prestr &＃61; createLinkstring($para_sort);

$isSgin &＃61; false;

switch (strtoupper(trim($this->alipay_config[&＃39;sign_type&＃39;]))) {

case "MD5" :

$isSgin &＃61; md5Verify($prestr, $sign, $this->alipay_config[&＃39;key&＃39;]);

break;

default :

$isSgin &＃61; false;

}

return $isSgin;

}

前面三个函数都是对我们GET进来的数组进行整理与链接的操作

这里的三个变量&＃xff0c;有两个变量是我们可控的,而$this->alipay_config[&＃39;key&＃39;] 是我们在支付宝中的接口key值是无法控的

而我们跟进md5Verifyfunction md5Verify($prestr, $sign, $key) {

$prestr &＃61; $prestr . $key;

$mysgin &＃61; md5($prestr);

if($mysgin &＃61;&＃61; $sign) {

return true;

}

else {

return false;

}

}

果然与书上写的一样&＃xff0c;o(︶︿︶)o 唉 这也同时造成这个漏洞鸡肋的唯一点

漏洞复现:

第二枚就简单实在好利用:

漏洞文件:include\plugin\payway\ebank\Receive.php

include(&＃39;../../../../common.php&＃39;);

$cache_payway &＃61; cache::get(&＃39;payway&＃39;);

$payway &＃61; unserialize($cache_payway[&＃39;ebank&＃39;][&＃39;payway_config&＃39;]);

$key &＃61; $payway[&＃39;ebank_md5&＃39;];

$v_oid &＃61;trim($_POST[&＃39;v_oid&＃39;]);

$v_pmode &＃61;trim($_POST[&＃39;v_pmode&＃39;]);

$v_pstatus &＃61;trim($_POST[&＃39;v_pstatus&＃39;]);

$v_pstring &＃61;trim($_POST[&＃39;v_pstring&＃39;]);

$v_amount &＃61;trim($_POST[&＃39;v_amount&＃39;]);

$v_moneytype &＃61;trim($_POST[&＃39;v_moneytype&＃39;]);

$remark1 &＃61;trim($_POST[&＃39;remark1&＃39;]);

$remark2 &＃61;trim($_POST[&＃39;remark2&＃39;]);

$v_md5str &＃61;trim($_POST[&＃39;v_md5str&＃39;]);

/**

* 重新计算md5的值

*/

$md5string&＃61;strtoupper(md5($v_oid.$v_pstatus.$v_amount.$v_moneytype.$key));

echo $key;

/**

* 判断返回信息&＃xff0c;如果支付成功&＃xff0c;并且支付结果可信&＃xff0c;则做进一步的处理

*/

if ($v_md5str&＃61;&＃61;$md5string) {

if($v_pstatus&＃61;&＃61;"20") {

$info &＃61; $db->pe_select(&＃39;order&＃39;, array(&＃39;order_id&＃39;&＃61;>$v_oid));

if ($info[&＃39;order_state&＃39;] &＃61;&＃61; &＃39;notpay&＃39;) {

$order[&＃39;order_outid&＃39;] &＃61; $v_pmode;

$order[&＃39;order_payway&＃39;] &＃61; &＃39;ebank&＃39;;

$order[&＃39;order_state&＃39;] &＃61; &＃39;paid&＃39;;

$order[&＃39;order_ptime&＃39;] &＃61; time();

$db->pe_update(&＃39;order&＃39;, array(&＃39;order_id&＃39;&＃61;>$v_oid), $order);

pe_success(&＃39;订单支付成功...&＃39;);

}

}

else {

echo "支付失败";

}

}

else{

echo "
校验失败,数据可疑";

}

?>