Sh4dow's Blog

活了二十几年,从来没有人给过我一次意外感动或惊喜,也没有人在我生日的时候给过我特别的礼物,生病的时候得到的只是一些不在身边的语言安慰,也不见谁真正的照顾过自己,甚至有的时候自己蒙头睡一觉就好了,也有人喜欢过我,但是从没见谁坚持过。

discuz论坛寄生虫程序(附加过安全狗)

今天朋友一个权6的站,被BC做SEO的人搞上了,找不出后门与劫持程序,其劫持的页面与正常论坛是一样URL,其收录量也不错。已经找出了这个后门,同时把其所有攻击行为、攻击思路、所有操作都已经分析出来(还找到了一个discuz插件的文件包含漏洞)。把这套劫持程序分享出来。利用方式也很有意思。这种东西还能过安全狗查杀。其包含特征文件。






其是包含文件过狗同时查杀也过(最后面放他的WEBSHELL)。

其包含特征是@inlude(PACK('H*','(文件HEX值物理路径)')) 这种简单的编码就可以过安全狗,还有一个小tips,文件不要放到WEB目录,放到windows/tmp目录,或者其他目录。这是后门,所以你所有情况你应该都是了解的。这里还可以改动一下目录文件。如HEX路径改成'H*',$_GET["file"]这样可以达到变量可控,同时还可以加入file_get_contents这种方式,达到自己内容路径内容可控。这种方式是过安全狗,可是过不了阿D查杀。


程序样子:



下载地址:链接: http://pan.baidu.com/s/1jIPQX5W 密码: zymj


WEBSHELL也能过安全狗特征(其实他的所有的访问,都是过了一次base64,这种很简单的方式过安全狗) PS因为加入webshell后页面太大,有需要可以私信我,我给出来。如果手工的,可以自己去写,就是把返回包与请求包变成BASE64。


评论

© Sh4dow's Blog | Powered by LOFTER