前言

源码藏后门这种事情，屡见不鲜了。文件包含，文件调用，拼接，大小马，htaccess文件做手脚等等………不过今天我就遇到个奇葩，藏了后门还不承认，非说是程序自带的。给大家看看程序结构先。

我检查了我所知道的一切后门方式。也用扫描器查找了一般，以为安全了直接上服务器部署好了，域名解析开始使用。第二天，莫名其妙登录日志有其他人了。也没太在意，觉得应该是自己登录路径和密码设的不够复杂，被人试出来了。改了一下就没管他了，因为工作原因过了两三天才有空去看看网站。一打开我惊了，登录日志一大堆不说，数据库也被人操作过……还有几个马儿躺在图片文件夹里面

这是我下载下来源码保留的马

后来看日志，最开始是一个UPLOAD.PHP上传过来的。并且这文件目录很深，打开代码如下

限制了大小写，加空格，加字符串，黑名单。他是怎么传上去的？看到strrchr函数后，突然发现我是win服务器，windows系统自动去掉不符合规则符号后面的内容。

这个时候我们就可以利用.来绕过限制了，因为strrchr函数会将上传的文件名后缀处理为.php.，当上传到win机器上时又会将后面的.去掉，然后后缀就又会被还原成.php，这样就可以执行了，下面演示一下

首先上传1.php文件并抓包，在burp修改文件后缀名为.php.

成功，那么问题来了他是怎么获得我的域名的？

在public文件夹里面有个index.php。包含了一大堆文件

其中printer.php里有SERVER_NAME函数和

file_get_contents函数。懂得人应该都懂了我就不教大家了。也欢迎大佬们讨论一下在自己程序植入后门算什么罪？我觉得算非法控制计算机罪。对于这种人，我们也奈何不了他。哑巴吃黄连，有苦说不出啊！