风暴俱乐部|某一次排查源码后门的过程
前言源码藏后门这种事情 , 屡见不鲜了 。 文件包含 , 文件调用 , 拼接 , 大小马 , htaccess文件做手脚等等………不过今天我就遇到个奇葩 , 藏了后门还不承认 , 非说是程序自带的 。 给大家看看程序结构先 。
我检查了我所知道的一切后门方式 。 也用扫描器查找了一般 , 以为安全了直接上服务器部署好了 , 域名解析开始使用 。 第二天 , 莫名其妙登录日志有其他人了 。 也没太在意 , 觉得应该是自己登录路径和密码设的不够复杂 , 被人试出来了 。 改了一下就没管他了 , 因为工作原因过了两三天才有空去看看网站 。 一打开我惊了 , 登录日志一大堆不说 , 数据库也被人操作过……还有几个马儿躺在图片文件夹里面
这是我下载下来源码保留的马
后来看日志 , 最开始是一个UPLOAD.PHP上传过来的 。 并且这文件目录很深 , 打开代码如下
限制了大小写 , 加空格 , 加字符串 , 黑名单 。 他是怎么传上去的?看到strrchr函数后 , 突然发现我是win服务器 , windows系统自动去掉不符合规则符号后面的内容 。
这个时候我们就可以利用.来绕过限制了 , 因为strrchr函数会将上传的文件名后缀处理为.php. , 当上传到win机器上时又会将后面的.去掉 , 然后后缀就又会被还原成.php , 这样就可以执行了 , 下面演示一下
首先上传1.php文件并抓包 , 在burp修改文件后缀名为.php.
成功 , 那么问题来了他是怎么获得我的域名的?
在public文件夹里面有个index.php 。 包含了一大堆文件
【风暴俱乐部|某一次排查源码后门的过程】其中printer.php里有SERVER_NAME函数和
file_get_contents函数 。 懂得人应该都懂了我就不教大家了 。 也欢迎大佬们讨论一下在自己程序植入后门算什么罪?我觉得算非法控制计算机罪 。 对于这种人 , 我们也奈何不了他 。 哑巴吃黄连 , 有苦说不出啊!
推荐阅读
- 潇湘晨报|34岁当医院院长,曾是当地“外科一把刀”,却因受贿贪污获刑十九年!第一次收钱连说几声谢谢
- 网慧验房|一次又一次被泼凉水,房价坚挺已经没用了,楼市“发烧”城市
- 烹饪|口感松软的培根肉松蛋糕,0失败新手学一次就会,美味又蓬松
- 美国人|李小龙的日本徒弟,终生为李小龙守墓,如今93岁依然每周扫墓一次
- 人健人爱官方号|糖友们注意了,别舍不得扔掉一次性注射针,当心因小失大
- 克里斯-保罗|再给你一次机会,你选3850万的神龟,还是3851万的保罗?
- 数字财经智库|而他的对手却成千亿富豪,许家印最失败的一次投资:3年巨亏40亿
- 爱影达人|向大家挥手道别,却没人注意他说的2个字,李咏生前最后一次主持
- 无话不谈|和一次性餐具说再见!小米有品新上便携餐具盒,在外吃饭不怕脏
- |伦敦美学品牌EXACTING开创美学空间新体验,让每一次选择都毫不费力