关于Colorful2.6(明月浩空模板)后门剖析 图章 图章

admin 5月前 245

凌晨2点某朋友致电告诉我博客被黑

我默默地看了一眼原来是我们的模板作者(李明浩)来过

当时博客体现的是模板、文章被删(如下)

然而我并没有在意,默默地进入景安空间把域名绑定删除.

因为这几天比较忙,昨天开始着手分析。

首先upyun的日志体现在0:00至2:00总共有两个iP进行了大量敏感操作

①222.93.133.213 江苏省苏州市 电信(疑似为服务器)

②42.234.15.101 河南省焦作市 联通(李明浩个人iP)

嗯那就差不多可以确定是模板作者本人操作了

我把这个时间段的日志全部下载下来分析 发现有将近1w条记录

大部分都是漏洞扫描器的记录。疑似为了混肴视线开的扫描器

于是乎我看到了这条记录。


代码如下:

/content/templates/limh.me/function/image.php?url=../../../../config.php

正常访问为空白页面,但我的直觉告诉我肯定有问题于是我加了view-source。然后出现了如下页面

噢原来是这样哦。明浩你真棒的呢。

正巧我用的是景安外网数据库 外网是可以直接 于是乎可以直接看到数据库和AUTH_KEY

那就意味着可以通过AUTH_KEY和密文算出Cookies直接登陆后台

真的很棒很棒的呢,你真是个合格的程序员

于是乎在00:54我们的明月浩空进入了我的后台


然后就能干一些见不得人羞羞的事情了

喏,我们看看他到底做什么


噢?原来是在后台操作文章标签插件呢。可以可以。所用的iP都是自己的呢。不错。厉害

-------请注意 本文正片-------

我们现在来分析一下image.php这个文件


file_get_contents函数,参考w3school的定义
file_get_contents() 函数把整个文件读入一个字符串中。
和 file() 一样,不同的是 file_get_contents() 把文件读入一个字符串。
file_get_contents() 函数是用于将文件的内容读入到一个字符串中的首选方法。如果操作系统支持,还会使用内存映射技术来增强性能。
可以说file_get_contents()是完全可以读取本地文件的,比如file_get_contents("../../../../config.php"),就可以读取config.php文件的内容
那么问题来了,为什么那么多人用模板没人发现这个问题呢,首先image这个文件一开始想到的就是获取图片等操作,至于代码么很容易被忽略掉。

包括favicon.php也是一样也附带了这个后门代码


其实原理也很简单

就是通过后门获取数据库账号密码和AUTH_KEY然后通过数据库的密文和AUTH_KEY算出Cookies进入后台

注:进入后台等于拿到了空间权限.可通过后台上传WebShell

然后你们都懂

-------修复方法-------

将file_get_contents()替换成curl函数,※前提是PHP必须开启curl扩展
curl函数呢,比file_get_contents()效率高,速度快,性能好,而且不会读取本地文件。
以下是修复好的完整代码

<?php
header("Content-Type: image/x-icon; charset=utf-8");
function curl_get($url)
{
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_USERAGENT, 'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36');
curl_setopt($ch, CURLOPT_TIMEOUT, 30);
$content=curl_exec($ch);
curl_close($ch);
return($content);
}
if(isset($_GET["url"]))
	$file=curl_get("".$_GET['url']);
	else
Header('Location:https://limh.me');
echo $file;
?>

附上模板标识码位置

content/templates/limh.me/js/pjax.min.js

在此小健告知那些已经被黑的博客站长,修复后门文件后,务必重新安装Emlog程序,以生成新的AUTH_KEY

修复文件附件下载(覆盖到模板目录即可)



上传的附件:

少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:安卓手机解除【锁机】方法!
下一篇:如何成为专业的渗透测试员
最新回复 (1)
全部楼主
  • admin 3月前
    0 2
    占楼
    • 少客联盟
      3
        登录 注册 QQ登录(停用)
返回
负责声明:本站部分资源来源于网络,如有侵权请发邮件(chinasuc@chinasuc.cn)告知我们,我们将会在24小时内处理。