前言
源代码隐藏后门的情况并不罕见。 文件包含、文件调用、拼接、大小、htaccess文件操作等等...但是今天遇到了一个奇怪的事情,隐藏了一个后门却不承认,除非它内置到程序中。 首先让我向您展示程序结构。
我检查了我所知道的所有后门方法。 我还用扫描仪来搜索它。 我以为安全了,就直接到服务器上部署,开始使用域名解析。 第二天,登录日志中无缘无故地出现了其他人。 我没太在意,以为是我的登录路径和密码不够复杂怎么测试源码软件,是别人想出来的。 我改变了它并离开了他。 因为工作的关系,花了两三天才有时间看网站,打开后惊呆了。 不仅有大量的登录日志,数据库也被人操纵了……图片文件夹里还躺着几匹马。
这是我下载源码后保留的马
后来看日志,发现首先上传的是UPLOAD.PHP,而且这个文件目录很深。 开启代码如下
限制大小写、添加空格、添加字符串和列入黑名单。 他是如何传承的? 看到strrchr函数后,我突然发现我是win服务器怎么测试源码软件,windows系统自动把不符合规则的符号后面的内容去掉。
这时候我们就可以使用 . 绕过限制,因为strrchr函数会将上传的文件名后缀处理为.php.,上传到win机器时,会出现以下.php. 将被删除,然后后缀将再次更改。 将其恢复为.php,这样就可以执行了。 下面我们来演示一下。
首先上传1.php文件并抓包。 修改burp中的文件后缀为.php。
成功了,那么问题是他是怎么得到我的域名的呢?
public文件夹中有index.php。包含很多文件
其中,printer.php包含SERVER_NAME函数和
file_get_contents 函数。 懂的人应该都明白了,我就不教你了。 也欢迎大家讨论一下给自己的程序植入后门是什么罪? 我认为这是非法控制计算机罪。 对于这种人,我们无能为力。 哑巴吃了黄连,痛苦无法表达!
