前言源碼藏後門這種事情,屢見不鮮瞭。文件包含,文件調用,拼接,大小馬,htaccess文件做手腳等等………不過今天我就遇到個奇葩,藏瞭後門還不承認,非說是程序自帶的。給大傢看看程序結構先。我檢查瞭我所知道的一切後門方式。也用掃描器查找瞭一般,以為安全瞭直接上服務器部署好瞭,域名解析開始使用。第二天,莫名其妙登錄日志有其他人瞭。也沒太在意,覺得應該是自己登錄路徑和密碼設的不夠復雜,被人試出來瞭。改瞭一下就沒管他瞭,因為工作原因過瞭兩三天才有空去看看網站。一打開我驚瞭,登錄日志一大堆不說,數據庫也被人操作過……還有幾個馬兒躺在圖片文件夾裡面這是我下載下來源碼保留的馬後來看日志,最開始是一個UPLOAD.PHP上傳過來的。並且這文件目錄很深,打開代碼如下限制瞭大小寫,加空格,加字符串,黑名單。他是怎麼傳上去的?看到strrchr函數後,突然發現我是win服務器,windows系統自動去掉不符合規則符號後面的內容。這個時候我們就可以利用.來繞過限制瞭,因為strrchr函數會將上傳的文件名後綴處理為.php.,當上傳到win機器上時又會將後面的.去掉,然後後綴就又會被還原成.php,這樣就可以執行瞭,下面演示一下首先上傳1.php文件並抓包,在burp修改文件後綴名為.php.成功,那麼問題來瞭他是怎麼獲得我的域名的?在public文件夾裡面有個index.php。包含瞭一大堆文件其中printer.php裡有SERVER_NAME函數和file_get_contents函數。懂得人應該都懂瞭我就不教大傢瞭。也歡迎大佬們討論一下在自己程序植入後門算什麼罪?我覺得算非法控制計算機罪。對於這種人,我們也奈何不瞭他。啞巴吃黃連,有苦說不出啊!