Sh4dow's Blog

今天朋友一个权6的站，被BC做SEO的人搞上了，找不出后门与劫持程序，其劫持的页面与正常论坛是一样URL，其收录量也不错。已经找出了这个后门，同时把其所有攻击行为、攻击思路、所有操作都已经分析出来（还找到了一个discuz插件的文件包含漏洞）。把这套劫持程序分享出来。利用方式也很有意思。这种东西还能过安全狗查杀。其包含特征文件。

其是包含文件过狗同时查杀也过（最后面放他的WEBSHELL）。

其包含特征是@inlude(PACK('H*','(文件HEX值物理路径)')) 这种简单的编码就可以过安全狗，还有一个小tips，文件不要放到WEB目录，放到windows/tmp目录，或者其他目录。这是后门，所以你所有情况你应该都是了解的。这里还可以改动一下目录文件。如HEX路径改成'H*'，$_GET["file"]这样可以达到变量可控，同时还可以加入file_get_contents这种方式，达到自己内容路径内容可控。这种方式是过安全狗，可是过不了阿D查杀。

程序样子：

下载地址：链接: https://pan.baidu.com/s/1jIPQX5W 密码: zymj

WEBSHELL也能过安全狗特征（其实他的所有的访问，都是过了一次base64，这种很简单的方式过安全狗） PS因为加入webshell后页面太大，有需要可以私信我，我给出来。如果手工的，可以自己去写，就是把返回包与请求包变成BASE64。