程序介紹
程序采用PHP5.4 + MySQL 程序結構如下
基本上目前做此類違法站點的不法分子,除了外包以外就是天恆、大發幾套程序模改的。暫時,這邊由於技術水平上面的問題,只能夠發出天恆的。版本可能有點老。但是,一大部分還是用的。經某位不願透露自己姓名的網友4月中旬實測,大約70%的存在這些問題,而使用這套程序的違法站點經過半個小時的采集大約在5000~20000左右。
漏洞詳情
1、money – SQL注入
webwjactiondefaultPayOnlineBack.class.php
繼續跟進money,此處為GET獲取,接着看條件
條件展示,第一個為Key驗證,這個在配置文件里。如果Key錯誤則表示所有訂單都無法生效。也就是說Key肯定是在URL請求內,這個驗證即可繞過。
繼續看條件,這里是生成一個MD5值進行校驗。但是這種校驗是有缺陷的,此處並未把key的值帶入進去。所以我們直接提交的時候,把$tno.$payno.$money都設為空。那么我們將獲取$md5key的MD5值。因為$sign在URL中能展示出來。解密后,我們再按照他的驗證機制就可以寫腳本,進行注入了。
往下繼續看,交易號隨機來就行了。
繼續看,最后一個驗證。這里的用戶名肯定是真實的,所以這里的驗證就算是廢掉了
接下來,根據前面的分析,就可以注入了。最重要的一點就是猜解出md5Key的值。
2、訂單信息 – 存儲XSS
在默認支付提交表單的地方,前台and后台未經過濾就導致了XSS存儲型漏洞
3、后台無驗證 – Getshell
lib/classes/googleChart/markers/GoogleChartMapMarker.php
這套源碼不僅僅這幾個洞,大家可以練練手自己挖一下。其次本來想着放出來采集未收錄違法站點工具的,但是后來想想,避免讓“其他”安全人士誤入歧途,也就此消除了這個想法。