影响范围
MacCMS 10
漏洞危害
潜藏后门
攻击类型
潜藏后门
利用条件
在影响范围内的MacCMS
CVE编号
无
漏洞概述
苹果CMS程序是一套采用PHP+MYSQL环境下运行的完善而强大的快速建站系统。具有程序体积小、运行速度快等特征,只要普通的虚拟主机就可以完美搭建起来,建站成本非常低。而且仿MVC模板分离,内置标签,自定义函数标签接口,强大的自定义采集功能,只要你会HTML就可以轻松做出个性化的网站。
今天Tools上有人曝出有一个冒出了苹果CMS官网的网站提供的MacCMS10存在后门,所有下载该CMS并使用的用户都被植入了木马程序,本篇文章对此进行简要分析。
漏洞分析
首先去冒充的“苹果官网”下载MacCMS10版本(http://www.maccmsv10.com/download.html):
之后将其解压缩到PHPstudy的www目录下面同时使用D盾进行一次查杀:
从上面的查杀结果中发现有两个可疑的php文件:
c:\phpstudy\www\maccms10\extend\qcloud\sms\sms.php
c:\phpstudy\www\maccms10\extend\upyun\src\upyun\api\format.php
下面打开第一个进行简单分析:
从上面的逻辑来看在L18这里调用s函数,在s函数中先定义了一个str变量并且赋了一个超长的字符串,之后在L10行对该字符串进行了rot13解码,之后在将其作为变量传递给m函数,这里先来print一下11看看
之后浏览器中访问看看,输出为一串类似于16进制的字符串
之后我们继续分析,str传入m函数之后,之后带入pack中,经过百度查询发现pack函数的作用是将一个数据装入一个二进制字符串,第一个参数说明编码格式,和要装载的数量,第二个参数为要装载数据:https://www.runoob.com/php/func-misc-pack.html#
运行实例如:
下面我们将其输出看看:
之后在浏览器中访问看看,发现有很多的木马的特征:
之后对木马的密码使用了md5加密解密一下获得木马的登陆密码:
密码为:WorldFilledWithLove,之后我们直接访问该木马来看看
之后我们再来看第二个木马程序:
和第一个一样一样的,这里就不在一一分析了,直接连接一波看看:
安全建议
建议广大用户访问正确的苹果CMS官网下载CMS产品并安装,同时使用D盾等来查杀网站中的各个文件夹下的文件,查杀木马程序避免被其他用户通过该途径入侵留下更加隐蔽的后门程序等~