SHOPEX最漏洞利用及解决方案.doc

　　漏洞原理： 　　include_once($INC_SYSHOMEDIR.include/PayFunction.php);//=========================== 把商家的相关信息返回去 =======================//接收组件的加密$OrderInfo = $_POST[OrderMessage]; //订单加密信息$signMsg = $_POST[Digest]; //密匙$m_id = $_POST[m_id];//=========================== 开始加密 ====================================//检查签名$shopPayment = newclass(shopPayment);$key = $shopPayment-getKey($INC_SHOPID, $m_id, NPS_OUT);$digest = md5($OrderInfo.$key);//var_dump($_POST);if ($digest == $signMsg){?//将HEX还原成字符?$OrderInfo = HexToStr($OrderInfo);?//DES解密?$recovered_message = des($key, $OrderInfo, 0, 1, null);?//echo DES Test Decrypted: . $recovered_message;?$orderArray = split([|],$recovered_message);?$m_id = $orderArray[0];?$m_orderid = $orderArray[1];?$m_oamount = $orderArray[2];?$m_ocurrency = $orderArray[3];?$m_url = $orderArray[4];?// m_txcode = array[5];?$m_language = $orderArray[5];?$s_name = $orderArray[6];?$s_addr = $orderArray[7];?$s_postcode = $orderArray[8];?$s_tel = $orderArray[9];?$s_eml = $orderArray[10];?$r_name = $orderArray[11];?$r_addr = $orderArray[12];?$r_postcode = $orderArray[13];?$r_tel = $orderArray[14];?$r_eml = $orderArray[15];?$m_ocomment = $orderArray[16];?$modate = $orderArray[17];?$Status = $orderArray[18];?if ($Status == 2)?{?$Order = newclass(Order);?$Order-shopId = $INC_SHOPID;?$Order-payid = $m_orderid;?$arr_paytime = getUnixtime(); //支付时间?$Order-onlinePayed($arr_paytime[0], $arr_paytime[1]);??$tmp_orderno = $Order-getorderidbyPayid($Order-payid); //拿出商店订单号?$state = 2 ;?$strinfo = $PROG_TAGS[ptag_1334];?}?else{?$state = 1 ;?$strinfo = $PROG_TAGS[ptag_1335];?}}else{?$state = 0 ;?$strinfo = $PROG_TAGS[ptag_1336];} Header(Location: ./index.php?gOo=pay_reply.dwtorderid=.$tmp_orderno.state=.$state.strinfo=.urlencode($strinfo));? 　　假设在 根目录下有个include文件夹，里面有PayFunction.php文件（这是我们自己构造的，当然文件的内容可是小马也可是大马 呵呵） 　　我们用如下方法就可以利用之 　　简单的说远程攻击者可以利用漏洞以WEB进程权限执行任意PHP命令。具体情节是npsout_reply.php脚本对用户提交的npsout_root_path参数缺少过滤