在一些PHP程序的CMS中如何找到PHP授權軟件中的后門

[重要通告]如您遇疑難雜癥,本站支持知識付費業(yè)務,掃右邊二維碼加博主微信,可節(jié)省您寶貴時間哦!

對于很多靠賣PHP程序養(yǎng)家糊口的人來說,授權是必不可少的一部分,為了防止被他人惡意破解,通常還會加入一些后門留一手,可我們這種正版用戶就不答應了,憑什么我付費買的程序居然還留著一個后門,萬一哪天有Bug那我不就GG了么?

一.遠程代碼執(zhí)行后門

這個相信大家都很熟悉了,eval等等函數(shù)都能實現(xiàn),不過,特別提醒:在查殺時一定要注意以下幾個函數(shù),此類后門比較隱蔽,不容易被查殺(fwrite/file_put_contents+include(_once)/require(_once)
這類后門其實是利用寫出一個PHP文件然后include導致的遠程代碼執(zhí)行,以及,注意unserialize導致的PHP對象注入引起文件寫入+ 遠程代碼執(zhí)行
查殺方式:對于第一類后門,先使用webshell專殺工具殺掉,然后手動查殺頑固后門(先搜索fwrite/file_put_contents然后看看是否有對指定文件寫入變量的功能,然后追溯到這個變量的來由,若發(fā)現(xiàn)出自$_GET $_POST $_SERVER["HTTP_xxxxx"],且輸出后綴名為.php或include/require本文件或有任意include(通過GET參數(shù)include對應文件且可以夠到通過file_put_contents類函數(shù)創(chuàng)建的文件(沒有對目錄過濾),則很可能為后門,此類后門解決方案如下:
對于include本文件的,嘗試注釋掉include語句并查看是否有影響正常功能,若影響,請刪除注釋符號然后對$_GET之類的過濾PHP代碼
,然后搜索unserialize函數(shù),若參數(shù)來自GET,則判斷有后門,此類后門僅在PHP版本>7.0,使用第二個參數(shù)傳入['allowed_classes' => [允許的類]或false]
來限制unserialize可以序列化的對象

二.管理員密碼上傳后門

這一個后門主要是影響CMS等有管理員后臺的程序(比如某人開發(fā)的EMLOG模板中就包含了此后門),通過file_put_contents向網(wǎng)站目錄中寫入加密后的密碼或通過file_get_contents/curl向授權服務器發(fā)送管理員用戶名密碼(不一定是用戶名密碼,比如數(shù)據(jù)庫密碼皆有可能)
解決方式:搜索以上字符串,若為函數(shù)則搜索這個函數(shù)名,直到找到未包含機密信息則可排除,若找到將機密信息隨便亂改(比如后門獲取數(shù)據(jù)庫密碼改為獲取值888888)

PS:請注意eval包裹的加密代碼

問題未解決?付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信

所寫所說,是心之所感,思之所悟,行之所得;文當無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!

支付寶贊助
微信贊助

免責聲明,若由于商用引起版權糾紛,一切責任均由使用者承擔。

您必須遵守我們的協(xié)議,如您下載該資源,行為將被視為對《免責聲明》全部內(nèi)容的認可->聯(lián)系老梁投訴資源
LaoLiang.Net部分資源來自互聯(lián)網(wǎng)收集,僅供用于學習和交流,請勿用于商業(yè)用途。如有侵權、不妥之處,請聯(lián)系站長并出示版權證明以便刪除。 敬請諒解! 侵權刪帖/違法舉報/投稿等事物聯(lián)系郵箱:service@laoliang.net
意在交流學習,歡迎贊賞評論,如有謬誤,請聯(lián)系指正;轉載請注明出處: » 在一些PHP程序的CMS中如何找到PHP授權軟件中的后門

發(fā)表回復

本站承接,網(wǎng)站推廣(SEM,SEO);軟件安裝與調試;服務器或網(wǎng)絡推薦及配置;APP開發(fā)與維護;網(wǎng)站開發(fā)修改及維護; 各財務軟件安裝調試及注冊服務(金蝶,用友,管家婆,速達,星宇等);同時也有客戶管理系統(tǒng),人力資源,超市POS,醫(yī)藥管理等;

立即查看 了解詳情