遠豐集團旗下CMS疑有官方後門

新聞 03-15

*本文作者：溫酒，本文屬 FreeBuf 原創獎勵計劃，未經許可禁止轉載。

起始

這個後門是在去年的某次滲透測試中發現的，但是因為時間點比較敏感，客戶也未修復，就還未披露。

他們在中央的網站都留了後門，銀行的也留，

影響了一大批人，真是

官方刺激！

其中包括官網上如下的網站：

實際上這些只是很少的網站，更多的是官網未寫明但是依然使用的小客戶。同時因為它涉及的是金融，所以影響較大。本來是不打算說出去的，但是客戶早就已經修復了，同時似乎也說了出去，導致一些國有網站也修復了。現在影響力不大了，就打算髮出來。

實際上這依然是0day，因為我沒有提交給任何漏洞平台。之所以不提交是我認為這可能只是一個官方設計好的「功能」，至於是不是後門，各位看官看完之後自己分析，我就不多嘴了。

分析

後門文件地址：/lib/smarty/plugins/function.php

這是一個很簡單的加密，單純的base64加密。這裡我給出我解密好且修改了格式的文件下載鏈接：

這裡我們直接看我解密好的代碼：

我們可以看到，第一個紅框是一個簡單的判斷，判斷$codelock_file是否等於空，否則就直接結束。如果直接訪問這個文件，毫無疑問會斷在這裡。但是我們先假設這個地方能過。繼續看下面的紅框裡面的代碼。

第二個紅框的代碼是用extract把$_REQUEST導入了當前的變數表。這代表接下來除了二次賦值的地方，所有的變數都是可控的。第3個紅框則是用fopen打開了一個文件，它的兩個參數$codelock_filed和$codelock_enc都是可以利用之前的extract控制的。

接下來第4個紅框則是開始了寫文件，寫入的內容是$codelock_masterdata，我們依然可以控制它。

這代表我們可以利用這個文件去寫一個後門。

那麼我們回到一開始的問題，在extract前面的第一個紅框，那裡我們控制不了$codelock_file，程序顯然會結束在這，那麼接下來的都是無法實現的。

聰明的朋友肯定想到了，既然有這個後門，必然有調用的地方。

我們繼續搜索，找到了這個文件lib/smarty/plugins/modifier.config.php

我們找到了調用的地方，在這裡給$codelock_file賦值，並且接下來include了這個文件。

我們可以構造exp如下：

即可在當前目錄下寫入文件XiaoZe.php.

效果如圖：

成功拿下shell。

總結

這是後門嗎？這個問題給交給各位看官們自己想，我處於不惹麻煩的角度，就不多bb了。就提出一些我認為的一些疑點。

1.這為什麼不猜測為是黑客故意留下的後門呢？

結合解密之後的疑似後門的文件剩下的代碼來看，各種變數的賦值。我個人認為是廠商開發出來對付盜版的方法。不屬於黑客入侵後留下的後門。

2.這是什麼版本的？在哪可以下載到完整版本？

這是人家的商業cms，不是開源的，要是我直接發出來怕不是就律師函警告了。但是可以給大家一個參考地址：[http://down.admin5.com/php/98938.html]

3.為什麼我在官方的好幾個客戶案例上利用這個漏洞失敗了，不是你說的 0day 嗎？

對，這是0day，我一直沒有提交，因為考慮到可能是正常的業務需求是吧？至於為什麼沒有利用成功呢，是因為這個問題是我在去年做項目的時候發現的。當時的客戶是某大網站，成功利用這個後門打下來了。官網上的所有演示站點都可以秒，但是處於影響過大和客戶還未修復的考慮，就一直沒有說出來。最後客戶修復了，但是這個問題傳給了開發商，然後就所謂的「修復」了。

4.那不就是沒有卵用的么？你說這麼多不就是說了廢話？修復的漏洞還是0day？

當然不是這樣的，我們隨便找幾個個官方上面寫的成功案例：