我们最近有一个黑客访问了我们的系统。他们丢弃了一些 Coldfusion 模板,并将它们包含在我们网站上的随机页面中。
他们转储的文件开头Allaire Cold Fusion Template然后包含看似“垃圾”的内容,但我相信这是某种预编译的 Coldfusion 代码。
我们已经清除了这些黑客,但我保存了这些文件,因为我希望有一些方法可以反编译它们,并可能对它们有所了解。虽然我认为黑客已经解决了,但我有点担心这段代码在做什么。(当我查看包含此代码的页面源时,它没有创建任何输出,因此必须在后台进行某些操作。)
如果没有办法,那很酷,我只是想我至少会调查看看这些文件在做什么的可能性。提前感谢您的帮助。
哇,你唤醒了我的一些“旧”脑细胞...... 早在你可以加密你的 ColdFusion 模板并且它们仍然可以在 ColdFusion 服务器上运行的时候。这种加密不是很安全,因为解密算法很容易获得。这是/是一种从不知情的人“隐藏”代码的简单方法(我猜)。
我在 Google 上进行了快速搜索,并在 Adobe 的网站上找到了对解密功能的旧参考,这可能有助于“破解”该代码。 AB Positive Encrypt and Decrypt 我相信他们的代码必须以这种方式加密,否则 ColdFusion 服务器也无法读取文件。此下载包括cfdecrypt.exe和cfencode.exe程序。
如果该工具不起作用并且我没记错的话,CFMX 之前的 ColdFusion 加密是使用名为CFCrypt.exe. 我认为那是 ColdFusion 的旧版本,但您也可以尝试使用它。我找不到它,但我确定您是否可以通过 Google 找到它。
请与您的结果一起发回。我有兴趣看看他们在做什么。
有一个程序 cfdecrypt 可以帮助您反编译它们。我已经很多年没有使用它了,但这是我找到的一个 github 项目的链接: