吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3390|回复: 11
收起左侧

[其他转载] 如何找到PHP授权软件中的后门

  [复制链接]
xieyi1393 发表于 2020-4-28 20:41
对于很多靠卖PHP程序养家糊口的人来说,授权是必不可少的一部分,为了防止被他人恶意破解,通常还会加入一些后门留一手,可我们这种正版用户就不答应了,凭什么我付费买的程序居然还留着一个后门,万一哪天有Bug那我不就GG了么?
一.远程代码执行后门
这个相信大家都很熟悉了,eval等等函数都能实现,不过,特别提醒:在查杀时一定要注意以下几个函数,此类后门比较隐蔽,不容易被查杀(fwrite/file_put_contents+include(_once)/require(_once)
这类后门其实是利用写出一个PHP文件然后include导致的远程代码执行,以及,注意unserialize导致的PHP对象注入引起文件写入+ 远程代码执行
查杀方式:对于第一类后门,先使用webshell专杀工具杀掉,然后手动查杀顽固后门(先搜索fwrite/file_put_contents然后看看是否有对指定文件写入变量的功能,然后追溯到这个变量的来由,若发现出自$_GET $_POST $_SERVER["HTTP_xxxxx"],且输出后缀名为.php或include/require本文件或有任意include(通过GET参数include对应文件且可以够到通过file_put_contents类函数创建的文件(没有对目录过滤),则很可能为后门,此类后门解决方案如下:
对于include本文件的,尝试注释掉include语句并查看是否有影响正常功能,若影响,请删除注释符号然后对$_GET之类的过滤PHP代码
,然后搜索unserialize函数,若参数来自GET,则判断有后门,此类后门仅在PHP版本>7.0,使用第二个参数传入['allowed_classes' => [允许的类]或false]
来限制unserialize可以序列化的对象

二.管理员密码上传后门
这一个后门主要是影响CMS等有管理员后台的程序(比如某人开发的EMLOG模板中就包含了此后门),通过file_put_contents向网站目录中写入加密后的密码或通过file_get_contents/curl向授权服务器发送管理员用户名密码(不一定是用户名密码,比如数据库密码皆有可能)
解决方式:搜索以上字符串,若为函数则搜索这个函数名,直到找到未包含机密信息则可排除,若找到将机密信息随便乱改(比如后门获取数据库密码改为获取值888888)


PS:请注意eval包裹的加密代码


以后若还发现其他的就这篇帖子中更新


希望能加精

免费评分

参与人数 4吾爱币 +4 热心值 +3 收起 理由
kk1212 + 1 + 1 谢谢@Thanks!
淡然面对 + 1 + 1 我很赞同!
storm + 1 + 1 用心讨论,共获提升!
长乐 + 1 加油

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

万事笔通 发表于 2020-4-28 21:21
应该是商业模块 大多数美其名保护 后门多的是 那个比较难解的加密 就不管它 正版都难得买 不然哪天突然那边员工不服 删库不是不存在

免费评分

参与人数 1吾爱币 +1 收起 理由
xieyi1393 + 1 用心讨论,共获提升!

查看全部评分

 楼主| xieyi1393 发表于 2020-4-28 21:30
本帖最后由 xieyi1393 于 2020-4-28 21:32 编辑
万事笔通 发表于 2020-4-28 21:21
应该是商业模块 大多数美其名保护 后门多的是 那个比较难解的加密 就不管它 正版都难得买 不然哪天突 ...

一个Emlog(类似于Wordpress)的付费模板,加了个简单的后门,被我去除了(虽然去除了还是买的是正版)
不过,那人(指卖我模板的人)真干过扒库的事情,把别人博客数据库直接拔下来公开(那人二次贩卖盗版)
自此,我就后门全删
ciwoo 发表于 2020-4-28 21:10
 楼主| xieyi1393 发表于 2020-4-28 21:18
ciwoo 发表于 2020-4-28 21:10
除了eval还有什么方法可以留后门?

麻烦请仔细读文章,文章里面有(unserialize+文件写入类),file_put_contents(以及可以写出文本的其他函数)+include
vethenc 发表于 2020-4-28 21:32
感谢分享
A00 发表于 2020-4-28 21:39
可以更贴集中介绍
 楼主| xieyi1393 发表于 2020-4-28 21:44
A00 发表于 2020-4-28 21:39
可以更贴集中介绍

好的,感谢您的支持
万事笔通 发表于 2020-4-28 21:51
xieyi1393 发表于 2020-4-28 21:30
一个Emlog(类似于Wordpress)的付费模板,加了个简单的后门,被我去除了(虽然去除了还是买的是正版)
不过, ...

习惯就好 一般商业都要去后门 
dj215 发表于 2020-4-28 23:06
都加密了也查杀不了啊
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-17 06:41

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表