經驗證:www.maccmsv10應該是個山寨站
--------------------
前言
蘋果CMS是國內優秀的開源PHP建站系統,擅長電影程序影視系統這一塊,在主流建站系統中特色鮮明,以靈活、小巧、兼容性好、負載強等優點而深受許多站長的喜愛....
好吧,我還是直說吧,了解該cms的人都知道,很多huangwang喜歡用這套cms。而我國馬上七十周年了,作為祖國的花骨朵兒、黨未來的接班人,我覺得我有必要為祖國做一些力所能及的事情,於是決定審計下該套系統然后xxoo,結果沒發現高危漏洞倒是發現了兩個混淆后的大馬,驚不驚喜?意不意外?發現后門有兩天了,這兩天一直孤軍奮戰,身體慢慢吃不消了,日漸消瘦(搞huangwang是真滴傷身體,這是我朋友告訴我的,經過這次我是深有體會)!漏洞已聯系工作人員但道現在都還沒理我、已提交cnvd。
正文
話不多說,直接進入正題。從官網下載源碼:
后門文件路徑:
maccms10\extend\upyun\src\Upyun\Api\Format.php
maccms10\extend\Qcloud\Sms\Sms.php
看下Format.php中的代碼,這是cms常用於混淆核心代碼的方式:
字符串還原后明文如下(大馬):
訪問
http://127.0.0.1/maccms10/extend/Qcloud/Sms/Sms.php
連接需要密碼:大家自己在后門中找吧
再看看下載的壓縮包
可以看到Format.php的修改時間,應該是6月12號添加上去的(github項目中沒有該文件),而該系統最后一次更新是3月6號。所以個人推斷應該和之前phpstudy事件類似,官網被黑,往程序中加后門?這是這個后門加的實在沒水准,直接加大馬也太明顯了吧...
網上批量一波:
隨便進一個
可以推斷,只要是近期使用maccms V10搭建的站基本都中招了。
最后
由於文章沒啥技巧性,所以廢話有點多,見諒哈。