在一些PHP程序的CMS中如何找到PHP授权软件中的后门

[全站通告]如需人工一对一付费服务(业务),请加微信 2589053300 进行沟通处理-非诚勿扰

对于很多靠卖PHP程序养家糊口的人来说,授权是必不可少的一部分,为了防止被他人恶意破解,通常还会加入一些后门留一手,可我们这种正版用户就不答应了,凭什么我付费买的程序居然还留着一个后门,万一哪天有Bug那我不就GG了么?

一.远程代码执行后门

这个相信大家都很熟悉了,eval等等函数都能实现,不过,特别提醒:在查杀时一定要注意以下几个函数,此类后门比较隐蔽,不容易被查杀(fwrite/file_put_contents+include(_once)/require(_once)
这类后门其实是利用写出一个PHP文件然后include导致的远程代码执行,以及,注意unserialize导致的PHP对象注入引起文件写入+ 远程代码执行
查杀方式:对于第一类后门,先使用webshell专杀工具杀掉,然后手动查杀顽固后门(先搜索fwrite/file_put_contents然后看看是否有对指定文件写入变量的功能,然后追溯到这个变量的来由,若发现出自$_GET $_POST $_SERVER["HTTP_xxxxx"],且输出后缀名为.php或include/require本文件或有任意include(通过GET参数include对应文件且可以够到通过file_put_contents类函数创建的文件(没有对目录过滤),则很可能为后门,此类后门解决方案如下:
对于include本文件的,尝试注释掉include语句并查看是否有影响正常功能,若影响,请删除注释符号然后对$_GET之类的过滤PHP代码
,然后搜索unserialize函数,若参数来自GET,则判断有后门,此类后门仅在PHP版本>7.0,使用第二个参数传入['allowed_classes' => [允许的类]或false]
来限制unserialize可以序列化的对象

二.管理员密码上传后门

这一个后门主要是影响CMS等有管理员后台的程序(比如某人开发的EMLOG模板中就包含了此后门),通过file_put_contents向网站目录中写入加密后的密码或通过file_get_contents/curl向授权服务器发送管理员用户名密码(不一定是用户名密码,比如数据库密码皆有可能)
解决方式:搜索以上字符串,若为函数则搜索这个函数名,直到找到未包含机密信息则可排除,若找到将机密信息随便乱改(比如后门获取数据库密码改为获取值888888)

PS:请注意eval包裹的加密代码

如需博主协助处理(收费),请加微信2589053300(非诚勿扰) --更多请关注:老梁`s Blog

所写所说,是心之所感,思之所悟,行之所得;文当无敷衍,落笔求简洁。 以所舍,求所获;有所依,方所成!

支付宝赞助
微信赞助

免责声明,若由于商用引起版权纠纷,一切责任均由使用者承担。

您必须遵守我们的协议,如您下载该资源,行为将被视为对《免责声明》全部内容的认可->联系老梁投诉资源
LaoLiang.Net部分资源来自互联网收集,仅供用于学习和交流,请勿用于商业用途。如有侵权、不妥之处,请联系站长并出示版权证明以便删除。 敬请谅解! 侵权删帖/违法举报/投稿等事物联系邮箱:service@laoliang.net

转载请注明-老梁`s Blog(老梁博客) » 在一些PHP程序的CMS中如何找到PHP授权软件中的后门

发表评论

本站承接,网站推广(SEM,SEO),软件的安装的安装与调试,服务器的推荐以及配置,APP的开发与维护,网络或者web维护;财务软件,客户管理系统,人力资源,超市POS,医药管理,服务器安全,ecshop,金蝶,用友,管家婆;

立即查看 了解详情