V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
onlyai
V2EX  ›  PHP

50 求帮改个 d 盾扫描有个后门的 PHP 文件

  •  
  •   onlyai · 2019-08-18 09:37:21 +08:00 · 5313 次点击
    这是一个创建于 1960 天前的主题,其中的信息可能已经有所发展或是发生改变。
    2 个帝国 cms 的源码的 php 文件,同名内容基本相同,用 d 盾扫描也是同一个后门 打开看好像是模板文件夹的文件 搜索关键字好像是注释好像是 位置导航
    24 条回复    2019-08-19 14:08:55 +08:00
    onlyai
        1
    onlyai  
    OP
       2019-08-18 09:39:56 +08:00
    扫描结果\e\class\mob\dp_funs.php 『(内藏)Eval 后门 {参数:stripslashes(mclass_replacesvars(str_replace("[!--newsnav--]",$url,$listtemp),r...』
    搜索关键字
    //替换模板变量
    $listtemp=str_replace('[!--newsnav--]',$url,$listtemp);//位置导航
    $listtemp=mClass_ReplaceSvars($listtemp,$url,$selfclassid,$pagetitle,$pagekey,$pagedes,$classimg,$add,$doenews);
    $listtemp=str_replace('[!--page.stats--]',$onclick,$listtemp);
    $no=1;
    $ok=0;
    $changerow=1;
    $num=$empire->gettotal($totalquery);
    //最大数
    huruwo
        2
    huruwo  
       2019-08-18 09:44:14 +08:00 via Android
    50k 5m ?
    claysec
        3
    claysec  
       2019-08-18 09:47:26 +08:00
    @huruwo 50rmb
    claysec
        4
    claysec  
       2019-08-18 09:48:14 +08:00
    我是没看出来后门在哪。误报而已自行忽略即可。
    onlyai
        5
    onlyai  
    OP
       2019-08-18 09:52:10 +08:00
    @claysec 主要是不懂代码 就这个文件显示有 感觉误报也有可能 如果工作量大会在加钱
    claysec
        6
    claysec  
       2019-08-18 09:54:01 +08:00
    从你发的代码我看是没什么问题。所以忽略即可
    @onlyai
    onlyai
        7
    onlyai  
    OP
       2019-08-18 10:00:47 +08:00
    @claysec 可以留个 q 么 或者加我的 qq:U2FsdGVkX18J0fXuYetw+uXgM+WfysQ01iebpphTbH0= aes 加密的也不知道对不对啊~
    claysec
        8
    claysec  
       2019-08-18 10:02:49 +08:00
    @onlyai AES。。还是你加我吧。我的 QQ:MTcxMDY2MTU1NQ==
    AntonChen
        9
    AntonChen  
       2019-08-18 10:36:00 +08:00 via Android
    AES 666
    precisi0nux
        10
    precisi0nux  
       2019-08-18 11:29:34 +08:00 via Android   ❤️ 5
    你可以不出钱,大家有空的话也会帮助下,但是出 50 真的有点侮辱人了…
    php01
        11
    php01  
       2019-08-18 11:35:04 +08:00
    我觉得你在骂人
    xiaojj
        12
    xiaojj  
       2019-08-18 11:48:32 +08:00   ❤️ 1
    直接文件发上来好了,还谈什么钱呢
    或者加我 qq E10ADC3949BA59ABBE56E057F20F883E md5 加密的
    wangsongyan
        13
    wangsongyan  
       2019-08-18 11:50:17 +08:00 via iPhone   ❤️ 1
    AES/MD5,哈哈
    810244966
        14
    810244966  
       2019-08-18 12:05:06 +08:00 via Android
    @xiaojj (#滑稽)
    hfutzj
        15
    hfutzj  
       2019-08-18 12:06:18 +08:00 via Android
    敢问 aes/md5 怎么解密
    leoleoasd
        16
    leoleoasd  
       2019-08-18 12:30:54 +08:00
    加我 QQ, c0be2aeefdf6cbbc38c425db9b4a133f91d20775
    sha 加密的
    illl
        17
    illl  
       2019-08-18 12:33:55 +08:00 via iPhone
    直接贴代码效率更高,你的联系方式居然留的真的是加密,牛
    CEBBCAT
        18
    CEBBCAT  
       2019-08-18 12:35:38 +08:00
    @leoleoasd #16 SHA1 还是 SHA256 啊?(正经)
    @xiaojj #12 <-<- 这个人瞎说胡话,这 QQ 是我的

    ---

    另外不是很懂 CMS 那边的东西,楼主这是找了盗版在查后门还是找了外包没付尾款?
    CEBBCAT
        19
    CEBBCAT  
       2019-08-18 12:36:16 +08:00
    @CEBBCAT #18 还是就是简单的提问……
    CEBBCAT
        20
    CEBBCAT  
       2019-08-18 12:36:41 +08:00
    @hfutzj #15 MD5 有彩虹表
    p0desta
        21
    p0desta  
       2019-08-18 12:52:17 +08:00 via Android
    帝国 cms 模板这里确实有漏洞,能 getshell,但是需要登录后台,危害不大
    wunonglin
        22
    wunonglin  
       2019-08-18 12:54:36 +08:00   ❤️ 1
    @php01 不是感觉,就是在骂人我觉得
    onlyai
        23
    onlyai  
    OP
       2019-08-19 14:00:56 +08:00
    @wunonglin 就是简单的提问了..加密是我看留 qq 都加密 我百度了 qq123456 不错。。
    @illl 贴代码有 4000 多行呢
    if($docode==1)
    {
    $listtemp=stripSlashes($listtemp);
    eval($listtemp);
    我把 eval 这行注释了就不报了 但这个好像是调用模板的 帝国的模板又是写在数据库里的
    claysec 兄弟帮我看了说应该是误报
    onlyai
        24
    onlyai  
    OP
       2019-08-19 14:08:55 +08:00
    链接: https://pan.baidu.com/s/1QZseyvypltN-4DxCagpHBw 提取码: f3dy 复制这段内容后打开百度网盘手机 App,操作更方便哦
    代码真发不下..
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2515 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 02:55 · PVG 10:55 · LAX 18:55 · JFK 21:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.