前言
這次檢查并不是幫我,而是幫一位粉絲。當時私聊我的時候我還挺高興的,至少得到了認可。

這次文章我也征求了他的同意才發出來的。也請別說我侵犯他人隱私。

過程
早上醒來的時候就看到了消息,原本我只想要個源碼的,不過只有源碼沒有日志的話,也算一次不完整的檢查。為了追求完美,還是恬不知恥的要了寶塔賬戶密碼哈哈。一進去我就看到個更新消息,好家伙pma未鑒權漏洞還沒修復,順手給更新了。

一共是三個站點,第一個使用fastadmin二開的,另外兩個是相同的不知名源碼。其他兩個站點相對于第一個來說不太重要,我就著重檢查了第一個。
本來思路是用工具掃加審計的。不過源碼備份下來500多m,下載速度也慢,幾十kb的跑。算了還是手工吧。是的你沒聽錯,我選擇了一個最笨的方法。

一共1752個文件,用時間排序。找到最開始安裝的日期,篩選下來還是有1000多個。沒辦法挨個看。順手找了個邏輯漏洞

幸運的是,發現了一個接口文件有問題,順手刪了。因為這個接口文件使用file_get_contents函數下載文件到本地保存在cache目錄。

還有個api.html文件,我想的是如果真是這個api.html文件有問題,那么上傳肯定是能getshell的。
經過測試發現并不能,而且文件上傳也限制過。

確認過安全后,接著回歸另外兩個網站。這兩個網站才是重災區。




一共6個馬,分別在不同的地方,時間。碼子內容也千奇百怪,都不相同。密碼也是。看到文件名字
木馬后門暫時改名待刪除
敏感的我知道,一定還有個改名程序。翻了20多分鐘才在App/Lib/model/index/里找到了它。

經歷了差不多兩個多小時吧,人都看傻了,也希望各位多多自查。同時也感謝這位粉絲能夠認可我。還有開發者們,真的沒必要在程序里放后門,買賣不成仁義在,你覺得呢?