紧急通知：阿里聚合直播盒子APP源码2019年5月以前的版本BUG

紧急通知：凡事2019年5月1日以前购买阿里聚合直播盒子APP源码V系列产品（包括市面上所流传的盗版温柔乡直播盒子源码以及深圳万象科技所盗版飞象直播盒子源码）均存在以下BUG。

1、TP自身爆出的提权后门；可注入一句话木马，可对程序和数据进行任意串改、删除。

BUG关键代码详解：

 

 

在修复之前程序未对控制器进行过滤，导致攻击者可以通过引入\符号来调用任意类方法。

 

 

其中使用了$this->app->controller方法来实例化控制器，然后调用实例中的方法。跟进controller方法：

 

其中通过parseModuleAndClass方法解析出$module和$class，然后实例化$class。

 

 

而parseModuleAndClass方法中，当$name以反斜线\开始时直接将其作为类名。利用命名空间的特点，如果可以控制此处的$name（即路由中的controller部分），那么就可以实例化任何一个类。

接着，我们再往回看路由解析的代码。其中route/dispatch/Url.php:: parseUrl方法调用了route/Rule.php:: parseUrlPath来解析pathinfo中的路由信息

 

 

代码比较简单，就是使用/对$url进行分割，未进行任何过滤。

 

其中的路由url从Request::path()中获取

 

 

由于var_pathinfo的默认配置为s，我们可利用$_GET['s']来传递路由信息，也可利用pathinfo来传递，但测试时windows环境下会将$_SERVER['pathinfo']中的\替换为/。结合前面分析可得初步利用代码如下：index.php?s=index/\namespace\class/method ，这将会实例化\namespace\class类并执行method方法。

 

2、代理后台，只要是代理身份可以对其他代理的发卡地址，联系方式进行串改。

3、可提取用户个人信息