一些 PHP 管理系统程序中的后门


Posted in PHP onAugust 05, 2009

我倒不怎么关心提示框,SABLOG怎么知道我的版本有漏洞呢,程序肯定有后门.每次登陆后台自动检测官方版本跟当前版本对比.嗯.后来找到了.在templates/admin/main.php最后的一部分.删掉如下代码就OK了.
其实这个不足以导致被黑的,现在一般有点常识的,密码都比较复杂,几个数字+几个字母,MD5的话一般很难跑出来.当然有彩虹表的话,另说...

<script type="text/javascript"> 
i=1; 
var autourl=new Array(); 
autourl[1] = 'www.sablog.net'; 
autourl[2] = 'cnc.sablog.net'; 
function auto(url){ 
if(i){ 
i=0; 
var oHead = document.getElementsByTagName('head').item(0); 
var oScript= document.createElement("script"); 
oScript.type = "text/javascript"; 
oScript.src = "http://"+url+"/update.php?version=$now_version&release=$now_release&hostname=$now_hostname"; 
oHead.appendChild(oScript); 
} 
} 
function run(){ 
for(var i=1;i<autourl.length;i++) { 
document.write("<img src=http://"+autourl+" width=1 height=1 onerror=auto('"+autourl+"')>"); 
} 
} 
run(); 
</script>

目前流行的程序里,不止SABLOG一个,Discuz,DEDECMS都是有这样的后门的.这样的后门官方的真正用意很难说.
为了让用户及时得到最新的补丁,最新的版本是一方面,其他的,随便人家怎么发挥了...
但是这个东西有好的一面,也有坏的一面,一旦官方被黑,后果可想而知,所有的用户就被"批量挂马"了.
现在干脆都给发出来吧.先来个DEDECMS的,标示出来的删掉就行:
/include/inc_functions.php 
function GetNewInfo(){ 
if(!isset($GLOBALS['__funAdmin'])) require_once(dirname(__FILE__)."/inc/inc_fun_funAdmin.php"); 
return SpGetNewInfo(); 
} 
/include/inc/inc_fun_funAdmin.php 
function SpGetNewInfo(){ 
global $cfg_version; 
$nurl = $_SERVER["HTTP_HOST"]; 
if( eregi("[a-z\-]{1,}\.[a-z]{2,}",$nurl) ){ $nurl = urlencode($nurl); } 
else{ $nurl = "test"; } 
$gs = "<iframe name='stafrm' src='http://www.dedecms.com/newinfo.php?version=".urlencode($cfg_version)."&formurl=$nurl' frameborder='0' id='stafrm' width='100%' height='50'></iframe>"; 
return $gs; 
} 
dede/index_body.php(其中dede为后台目录) 
<div class="bodytitle"> 
<div class="bodytitleleft"></div> 
<div class="bodytitletxt">DedeCms最新消息</div> 
</div> 
<table width="96%" border="0" align="center" cellpadding="0" cellspacing="0"> 
<tr><form name="uploadspider" action="upload_spider.php" method="post"> 
<td height="80" class="main_dnews"> 
<?php echo GetNewInfo()?> </td> 
</form> 
</tr> 
</table>

再把DZ的"后门"发出来吧.admin\global.func.php里面查找"function cpfooter",替换成如下的function:
function cpfooter() { 
global $version, $adminid, $db, $tablepre, $action, $bbname, $charset, $timestamp, $isfounder, $insenz; 
global $_COOKIE, $_SESSION, $_DCOOKIE, $_DCACHE, $_DSESSION, $_DCACHE, $_DPLUGIN, $sqldebug, $debuginfo; 
$infmessage = ''; 
?> 
<?=$infmessage?> 
<?php echo $sqldebug;?> 
</div> 
</body> 
</html> 
<?php 
updatesession(); 
}

这个文件中还有一个function,没必要的,可以去掉:
function bbsinformation() { 
global $db, $timestamp, $tablepre, $charset, $bbname, $_SERVER, $siteuniqueid, $save_mastermobile; 
$update = array('uniqueid' => $siteuniqueid, 'version' => DISCUZ_VERSION, 'release' => DISCUZ_RELEASE, 'php' => PHP_VERSION, 'mysql' => $db->version(), 'charset' => $charset, 'bbname' => $bbname, 'mastermobile' => $save_mastermobile); 
$updatetime = @filemtime(DISCUZ_ROOT.'./forumdata/updatetime.lock'); 
if(emptyempty($updatetime) || ($timestamp - $updatetime > 3600 * 4)) { 
@touch(DISCUZ_ROOT.'./forumdata/updatetime.lock'); 
$update['members'] = $db->result_first("SELECT COUNT(*) FROM {$tablepre}members"); 
$update['threads'] = $db->result_first("SELECT COUNT(*) FROM {$tablepre}threads"); 
$update['posts'] = $db->result_first("SELECT COUNT(*) FROM {$tablepre}posts"); 
$query = $db->query("SELECT special, count(*) AS spcount FROM {$tablepre}threads GROUP BY special"); 
while($thread = $db->fetch_array($query)) { 
$thread['special'] = intval($thread['special']); 
$update['spt_'.$thread['special']] = $thread['spcount']; 
} 
} 
$data = ''; 
foreach($update as $key => $value) { 
$data .= $key.'='.rawurlencode($value).'&'; 
} 
return 'update='.rawurlencode(base64_encode($data)).'&md5hash='.substr(md5($_SERVER['HTTP_USER_AGENT'].implode('', $update).$timestamp), 8, 8).'×tamp='.$timestamp; 
}

还有admin/home.inc.php,大概193~196行(DZ6.1.0 UTF-8官方原版),这里:
showtablerow('', array('class="vtop td24 lineheight"', 'class="lineheight smallfont"'), array( 
lang('home_discuz_version'), 
'Discuz! '.DISCUZ_VERSION.' Release '.DISCUZ_RELEASE.' <a href="http://www.discuz.net/forumdisplay.php?fid=10" class="lightlink smallfont" target="_blank">'.lang('home_check_newversion').'</a> ' 
));

虽然说这里没有直接与官方进行通信,但是,,,我看着不爽,想打补丁自己常去官方看就是了.还有所有文件名中包含insenz的文件,用不着的话就直接删除.没什么用.
PHP 相关文章推荐
PHP高级OOP技术演示
Aug 27 PHP
PHP操作XML作为数据库的类
Dec 19 PHP
php截取后台登陆密码的代码
May 05 PHP
php输出echo、print、print_r、printf、sprintf、var_dump的区别比较
Jun 21 PHP
php无限遍历文件夹示例分享
Mar 04 PHP
ThinkPHP实现多数据库连接的解决方法
Jul 01 PHP
PHP Try-catch 语句使用技巧
Feb 28 PHP
AJAX PHP无刷新form表单提交的简单实现(推荐)
Sep 09 PHP
thinkphp框架page类与bootstrap分页(美化)
Jun 25 PHP
PhpStorm本地断点调试的方法步骤
May 21 PHP
windows 2008r2+php5.6.28环境搭建详细过程
Jun 18 PHP
php模式设计之观察者模式应用实例分析
Sep 25 PHP
黑夜路人出的几道php笔试题
Aug 04 #PHP
谈谈新手如何学习PHP 默默经典版本
Aug 04 #PHP
用PHP的ob_start() 控制您的浏览器cache
Aug 03 #PHP
一贴学会PHP 新手入门教程
Aug 03 #PHP
php 获得汉字拼音首字母的函数
Aug 01 #PHP
PHP 上传文件的方法(类)
Jul 30 #PHP
PHP 文章中的远程图片采集到本地的代码
Jul 30 #PHP
You might like
PHP CURL 内存泄露问题解决方法
2015/02/12 PHP
ThinkPHP安装和设置
2015/07/27 PHP
学习php设计模式 php实现建造者模式
2015/12/07 PHP
php微信浏览器分享设置以及回调详解
2016/08/01 PHP
PHP判断一个变量是否为整数、正整数的方法示例
2019/09/11 PHP
如何重写Laravel异常处理类详解
2020/12/20 PHP
MooTools 页面滚动浮动层智能定位实现代码
2011/08/23 Javascript
让ie6也支持websocket采用flash封装实现
2013/02/18 Javascript
判断ie的两种简单方法
2013/08/12 Javascript
jquery中filter方法用法实例分析
2015/02/06 Javascript
JavaScript 里的类数组对象
2015/04/08 Javascript
在Node.js中使用Javascript Generators详解
2016/05/05 Javascript
js实现瀑布流效果(自动生成新的内容)
2017/03/16 Javascript
js实现放大镜特效
2017/05/18 Javascript
bootstrap-table组合表头的实现方法
2017/09/07 Javascript
JS运动改变单物体透明度的方法分析
2018/01/23 Javascript
vue 配置多页面应用的示例代码
2018/10/22 Javascript
解决layui的使用以及针对select、radio等表单组件不显示的问题
2019/09/05 Javascript
vue项目实现多语言切换的思路
2020/09/17 Javascript
vue+swiper实现左右滑动的测试题功能
2020/10/30 Javascript
解决iView Table组件宽度只变大不变小的问题
2020/11/13 Javascript
django批量导入xml数据
2016/10/16 Python
python 并发编程 非阻塞IO模型原理解析
2019/08/20 Python
python自动化测试三部曲之request+django实现接口测试
2020/10/07 Python
selenium学习教程之定位以及切换frame(iframe)
2021/01/04 Python
html5 Canvas画图教程(4)—未闭合的路径及渐变色的填充方法
2013/01/09 HTML / CSS
英国复古皮包品牌:Beara Beara
2018/07/18 全球购物
枚举和一组预处理的#define有什么不同
2016/09/21 面试题
机械设计及其自动化求职推荐信
2014/02/17 职场文书
绿色城市实施方案
2014/03/19 职场文书
市场营销策划方案
2014/06/11 职场文书
法院授权委托书格式
2014/09/28 职场文书
市场调研项目授权委托书范本
2014/10/04 职场文书
Python中requests做接口测试的方法
2021/05/30 Python
python中opencv实现图片文本倾斜校正
2021/06/11 Python
mysql中DCL常用的用户和权限控制
2022/03/31 MySQL