记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

ecshop7号补丁再次出现后门(后门分析)

2013-05-22 12:20

ecshop被收购后,就不知道是怎么了

2013年5月7号更新的7号补丁,但是下载下来后,我发现明显不对。
第一,includes目录里面多了个install文件夹,原来是没有这个文件夹的,并且里面全是js(最后发现这个目录根本没用到,骇客大哥你做事情能仔细点不)
第二,admin/js目录里面全部js都上来了(后面通过文件比较发现只有一个文件有修改)

好了,我们要分析下这位骇客大哥干的“好事”。

首先,他修改了includes\lib_base.php文件的write_static_cache函数

把原来的:
2
修改成了:
3

很明显这个为了写文件,这位大哥的毛病又犯了,不知道大哥用的什么编辑器,修改后文件编码从utf-8变成了utf-8+
4
造成的后果是如果打了这个补丁的网站会出现:
5

代码调用的地方在:

文件位置:includes\fckeditor\editor\dialog\fck_spellerpages\spellerpages\server-scripts\spellchecker.php(这个文件够深)

7

这个样子后,你就可以随便弄个表单提交到spellchecker.php,提交一个文件名和内容就可以了。可以生成任何内容的文件。

大牛还整了个统计的,真是有心拉,在文件admin\js\common.js
6
把中招的网址发到 http://bbs.ecshop.com/forumdata/logs/install.php还故意用的bbs.ecshop.com来躲避嫌疑

这个补丁的问题我当天就发现了,但是最近一直比较忙没有公布出来,心想ecshop应该会发现吧,但是半个月过去了都没反应,我就抽空写了出来,
我想说的是ecshop肿么了

知识来源: www.2cto.com/Article/201305/213322.html

阅读:84177 | 评论:0 | 标签:后门

想收藏或者和大家分享这篇好文章→复制链接地址

“ecshop7号补丁再次出现后门(后门分析)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词