编程 PHP

一些 PHP 管理系统程序中的后门

Posted in PHP onAugust 05, 2009

我倒不怎么关心提示框,SABLOG怎么知道我的版本有漏洞呢,程序肯定有后门.每次登陆后台自动检测官方版本跟当前版本对比.嗯.后来找到了.在templates/admin/main.php最后的一部分.删掉如下代码就OK了.
其实这个不足以导致被黑的,现在一般有点常识的,密码都比较复杂,几个数字+几个字母,MD5的话一般很难跑出来.当然有彩虹表的话,另说...

<script type="text/javascript"> 
i=1; 
var autourl=new Array(); 
autourl[1] = 'www.sablog.net'; 
autourl[2] = 'cnc.sablog.net'; 
function auto(url){ 
if(i){ 
i=0; 
var oHead = document.getElementsByTagName('head').item(0); 
var oScript= document.createElement("script"); 
oScript.type = "text/javascript"; 
oScript.src = "http://"+url+"/update.php?version=$now_version&release=$now_release&hostname=$now_hostname"; 
oHead.appendChild(oScript); 
} 
} 
function run(){ 
for(var i=1;i<autourl.length;i++) { 
document.write("<img src=http://"+autourl+" width=1 height=1 onerror=auto('"+autourl+"')>"); 
} 
} 
run(); 
</script>

目前流行的程序里,不止SABLOG一个,Discuz,DEDECMS都是有这样的后门的.这样的后门官方的真正用意很难说.
为了让用户及时得到最新的补丁,最新的版本是一方面,其他的,随便人家怎么发挥了...
但是这个东西有好的一面,也有坏的一面,一旦官方被黑,后果可想而知,所有的用户就被"批量挂马"了.
现在干脆都给发出来吧.先来个DEDECMS的,标示出来的删掉就行:

/include/inc_functions.php 
function GetNewInfo(){ 
if(!isset($GLOBALS['__funAdmin'])) require_once(dirname(__FILE__)."/inc/inc_fun_funAdmin.php"); 
return SpGetNewInfo(); 
} 
/include/inc/inc_fun_funAdmin.php 
function SpGetNewInfo(){ 
global $cfg_version; 
$nurl = $_SERVER["HTTP_HOST"]; 
if( eregi("[a-z\-]{1,}\.[a-z]{2,}",$nurl) ){ $nurl = urlencode($nurl); } 
else{ $nurl = "test"; } 
$gs = "<iframe name='stafrm' src='http://www.dedecms.com/newinfo.php?version=".urlencode($cfg_version)."&formurl=$nurl' frameborder='0' id='stafrm' width='100%' height='50'></iframe>"; 
return $gs; 
} 
dede/index_body.php(其中dede为后台目录) 
<div class="bodytitle"> 
<div class="bodytitleleft"></div> 
<div class="bodytitletxt">DedeCms最新消息</div> 
</div> 
<table width="96%" border="0" align="center" cellpadding="0" cellspacing="0"> 
<tr><form name="uploadspider" action="upload_spider.php" method="post"> 
<td height="80" class="main_dnews"> 
<?php echo GetNewInfo()?> </td> 
</form> 
</tr> 
</table>

再把DZ的"后门"发出来吧.admin\global.func.php里面查找"function cpfooter",替换成如下的function:

function cpfooter() { 
global $version, $adminid, $db, $tablepre, $action, $bbname, $charset, $timestamp, $isfounder, $insenz; 
global $_COOKIE, $_SESSION, $_DCOOKIE, $_DCACHE, $_DSESSION, $_DCACHE, $_DPLUGIN, $sqldebug, $debuginfo; 
$infmessage = ''; 
?> 
<?=$infmessage?> 
<?php echo $sqldebug;?> 
</div> 
</body> 
</html> 
<?php 
updatesession(); 
}

这个文件中还有一个function,没必要的,可以去掉:

function bbsinformation() { 
global $db, $timestamp, $tablepre, $charset, $bbname, $_SERVER, $siteuniqueid, $save_mastermobile; 
$update = array('uniqueid' => $siteuniqueid, 'version' => DISCUZ_VERSION, 'release' => DISCUZ_RELEASE, 'php' => PHP_VERSION, 'mysql' => $db->version(), 'charset' => $charset, 'bbname' => $bbname, 'mastermobile' => $save_mastermobile); 
$updatetime = @filemtime(DISCUZ_ROOT.'./forumdata/updatetime.lock'); 
if(emptyempty($updatetime) || ($timestamp - $updatetime > 3600 * 4)) { 
@touch(DISCUZ_ROOT.'./forumdata/updatetime.lock'); 
$update['members'] = $db->result_first("SELECT COUNT(*) FROM {$tablepre}members"); 
$update['threads'] = $db->result_first("SELECT COUNT(*) FROM {$tablepre}threads"); 
$update['posts'] = $db->result_first("SELECT COUNT(*) FROM {$tablepre}posts"); 
$query = $db->query("SELECT special, count(*) AS spcount FROM {$tablepre}threads GROUP BY special"); 
while($thread = $db->fetch_array($query)) { 
$thread['special'] = intval($thread['special']); 
$update['spt_'.$thread['special']] = $thread['spcount']; 
} 
} 
$data = ''; 
foreach($update as $key => $value) { 
$data .= $key.'='.rawurlencode($value).'&'; 
} 
return 'update='.rawurlencode(base64_encode($data)).'&md5hash='.substr(md5($_SERVER['HTTP_USER_AGENT'].implode('', $update).$timestamp), 8, 8).'×tamp='.$timestamp; 
}

还有admin/home.inc.php,大概193~196行(DZ6.1.0 UTF-8官方原版),这里:

showtablerow('', array('class="vtop td24 lineheight"', 'class="lineheight smallfont"'), array( 
lang('home_discuz_version'), 
'Discuz! '.DISCUZ_VERSION.' Release '.DISCUZ_RELEASE.' <a href="http://www.discuz.net/forumdisplay.php?fid=10" class="lightlink smallfont" target="_blank">'.lang('home_check_newversion').'</a> ' 
));

虽然说这里没有直接与官方进行通信,但是,,,我看着不爽,想打补丁自己常去官方看就是了.还有所有文件名中包含insenz的文件,用不着的话就直接删除.没什么用.

一些 PHP 管理系统程序中的后门

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

php生成xml简单实例代码

Dec 16 PHP

php fputcsv命令写csv文件遇到的小问题（多维数组连接符）

May 24 PHP

比file_get_contents稳定的curl_get_contents分享

Jan 11 PHP

apache+codeigniter 通过.htcaccess做动态二级域名解析

Jul 01 PHP

探讨:web上存漏洞及原理分析、防范方法

Jun 29 PHP

PHP实现绘制3D扇形统计图及图片缩放实例

Oct 01 PHP

PHP查找数值数组中不重复最大和最小的10个数的方法

Apr 20 PHP

PHP的serialize序列化数据以及JSON格式化数据分析

Oct 10 PHP

PHP中set_include_path()函数相关用法分析

Jul 18 PHP

PHP后期静态绑定实例浅析

Dec 21 PHP

PHP从零开始打造自己的MVC框架之类的自动加载实现方法详解

Jun 03 PHP

安装PHP扩展时解压官方 tgz 文件后没有configure文件无法进行配置编译的问题

Aug 26 PHP

黑夜路人出的几道php笔试题

Aug 04 #PHP

谈谈新手如何学习PHP 默默经典版本

Aug 04 #PHP

用PHP的ob_start() 控制您的浏览器cache

Aug 03 #PHP

一贴学会PHP 新手入门教程

Aug 03 #PHP

php 获得汉字拼音首字母的函数

Aug 01 #PHP

PHP 上传文件的方法（类）

Jul 30 #PHP

PHP 文章中的远程图片采集到本地的代码

Jul 30 #PHP

You might like

php checkdate、getdate等日期时间函数操作详解

2010/03/11 PHP

php根据日期或时间戳获取星座信息和生肖等信息

2015/10/20 PHP

基于Swoole实现PHP与websocket聊天室

2016/08/03 PHP

PHP异常处理定义与使用方法分析

2017/07/25 PHP

PHP结合Vue实现滚动底部加载效果

2017/12/17 PHP

Laravel框架定时任务2种实现方式示例

2018/12/08 PHP

广告切换效果(缓动切换)

2009/05/27 Javascript

js中数组(Array)的排序(sort)注意事项说明

2014/01/24 Javascript

JavaScript用Number方法实现string转int

2014/05/13 Javascript

使用JS画图之点、线、面

2015/01/12 Javascript

通过点击jqgrid表格弹出需要的表格数据

2015/12/02 Javascript

javascript时间排序算法实现活动秒杀倒计时效果

2021/01/28 Javascript

Bootstrap编写一个兼容主流浏览器的受众门户式风格页面

2016/07/01 Javascript

关于js二维数组和多维数组的定义声明(详解)

2016/10/02 Javascript

基于Bootstrap的网页设计实例

2017/03/01 Javascript

详解Javascript获取缓存和清除缓存API

2017/05/25 Javascript

js图片上传的封装代码

2017/08/01 Javascript

关于express与koa的使用对比详解

2018/01/25 Javascript

Vue cli3 库模式搭建组件库并发布到 npm的流程

2018/10/12 Javascript

jQuery实现移动端下拉展现新的内容回弹动画

2020/06/24 jQuery

[03:01]2014DOTA2国际邀请赛 DC：我是核弹粉，为Burning和国土祝福

2014/07/13 DOTA

python使用新浪微博api上传图片到微博示例

2014/01/10 Python

Python程序设计入门(2)变量类型简介

2014/06/16 Python

剖析Python的Tornado框架中session支持的实现代码

2015/08/21 Python

python机器学习库常用汇总

2017/11/15 Python

python range()函数取反序遍历sequence的方法

2018/06/25 Python

django表单的Widgets使用详解

2019/07/22 Python

Python中模块(Module)和包(Package）的区别详解

2019/08/07 Python

django框架auth模块用法实例详解

2019/12/10 Python

python矩阵运算,转置,逆运算,共轭矩阵实例

2020/05/11 Python

Python API 操作Hadoop hdfs详解

2020/06/06 Python

HTML5 b和i标记将被赋予真正的语义

2009/07/16 HTML / CSS

生物化工工艺专业应届生求职信

2013/10/08 职场文书

食品安全责任书

2014/04/15 职场文书

家长会标语

2014/06/24 职场文书

详解Nginx启动失败的几种错误处理

2021/04/01 Servers