aapanel 哪里有后门?

moe

3年前

https://github.com/aaPanel/aaPanel/blob/d2a66661dbd66948cce5a074214257550aec91ee/class/public.py#L2712

def cloud_check_domain(domain):
”’
@name 从云端验证域名的可访问性,并将结果保存到文件
@author hwliang<2020-12-10>
@param domain {string} 被验证的域名
@return void
”’
try:
check_domain_path = ‘{}/data/check_domain/’.format(get_panel_path())
if not os.path.exists(check_domain_path):
os.makedirs(check_domain_path,384)
pdata = get_user_info()
pdata[‘domain’] = domain
result = httpPost(‘https://www.aapanel.com/api/panel/checkDomain’,{"domain":domain})
cd_file = check_domain_path + domain +’.pl’
writeFile(cd_file,result)
except:
pass

复制代码

???
找到能不能贴一下代码?

就那里啊，你没看到吗？就那里

长夜漫漫发表于 2022-5-12 02:57
就那里啊，你没看到吗？就那里

我都无语了提交的变量domain,不是pdata.这也是后门?

这个作用你不会以为就是为了返回个ok看看吧，那肯定要记录你添加的域名吧。

凡是记录本地IP和系统特性信息都属于隐私

上传到网络属于收集隐私

不管它是不是后门

本帖最后由日美眉于 2022-5-12 03:11 编辑

/www/server/panel/class/ajax.py

data = {}
data[‘ds’] = ”#self.get_other_info()
data[‘sites’] = str(public.M(‘sites’).count())
data[‘ftps’] = str(public.M(‘ftps’).count())
data[‘databases’] = str(public.M(‘databases’).count())
data[‘system’] = panelsys.GetSystemVersion() + ‘|’ + str(mem.total / 1024 / 1024) + ‘MB|’ + str(public.getCpuType()) + ‘*’ + str(psutil.cpu_count()) + ‘|’ + str(public.get_webserver()) + ‘|’ +session[‘version’]
data[‘system’] += ‘||’+self.GetInstalleds(mplugin.getPluginList(None))
data[‘logs’] = logs
data[‘client’] = request.headers.get(‘User-Agent’)
data[‘oem’] = ”
data[‘intrusion’] = 0
data[‘uid’] = self.get_uid()
#msg = public.getMsg(‘PANEL_UPDATE_MSG’);
data[‘o’] = public.get_oem_name()
sUrl = ‘{}/api/panel/updateLinuxEn’.format(self.__official_url)
updateInfo = json.loads(public.httpPost(sUrl,data))

复制代码