WooYun.org

事情缘由：
昨夜夜观天象，发现天象有变，使用蓝翔挖掘机，发现堡垒机后门账号若干枚。呈现结果如下“
正常管理员登录系统，可以看见所有的管理员用户：

而使用后门账号登录堡垒机可以看到如下场景：

可以发现后门账号可以对正常账号添加删除修复，而正常用户是无法感受到后门账号的存在，即使登陆后门账号，也无法对后门账号进行删除处理，后面将详细讲解系统如何防止后门账号被删除，
先来说说其危害：
有管理员权限后，可以开启堡垒机调试功能：

调试功能干嘛的呢？正常用户使用堡垒机，堡垒机只是代理作用，登陆堡垒机其实并没有登陆到堡垒机里。开启调试模式后，则可以使用堡垒机内置账号登录维护堡垒机。
使用ssh 222端口登陆堡垒机，没有系统密码怎么办，你猜
1234，2234，3234 黄哥知识，再来一次，dir一下，我擦，hash出来了
。

登陆系统后，发现居然存在不少具有高权限的账号。由于江南科友堡垒机的运行机制，每次重启，系统文件会被隐藏的挂载盘符内的文件覆盖，导致内置账号密码无法被修改。另外内置账号，在不同版本的堡垒机中通用。亲身测试过，这里就不截图了。
通过一系列后门，可以直接获得最高权限，对了，别人还无法查看你的日志哦，屁股都不用擦了，还可以替别人擦屁股。危害不言而喻
为什么我前面说他是后门呢，因为系统通过多种手段保证后门的可用性，列为看官请下看。
先找数据库配置文件，查找数据库链接账号密码：

获得mysql账号密码（其实应该先猜后找），进入数据库，查看管理员在数据库中的信息。

发现数据库中存在后门账号信息，那我们在数据库将账号删除，是否删除了后门呢，非也非也。我们来看看代码（吐槽：代码质量是一流的，特别适合初学源码审计，任意命令执行，任意文件写入一大坨，尼玛sql使用了参数化函数，但不绑定参数，N多地方都是字符串直接拼接 。）。
我们可以看到后台登陆处调用了InitConfig.php

那我们看看InitConfig是干嘛的呢：

初始化后门账号密码。然后我们再去login.php里面看看（一个函数洋洋洒洒几百几千行，又臭又长）。

直接代码硬飘过，一切尽在代码中。
由于时间与能力有限，只粗浅查看，可能还有其他地方存在类似问题。如报告有错误，请大家予以斧正。