likeshop回收租赁系统 去除安装认证后台升级等监控功能技术研究

一、安装时上报域名（高度敏感）

文件： server/public/install/model.php

行为： 在安装向导完成（Step 5）时，自动将你的服务器域名加密上报给 likeshop 官方服务器。

// 第753行 - installLog()
$code = '82091d664ef4a99e0e7f0c3572c4ecd1';
$data = $this->dataEncrypt($this->getHost(), $code); // 用固定密钥加密域名
$url = "https://server.likeshop.cn/api/version/installLog";
// 向官方发送加密后的域名信息

加密算法是 XOR + Base64：

// 第801行 - dataEncrypt()
for ($i = 0; $i < strlen($string); $i++) {
    $result .= chr(ord($char) ^ ord($keyChar)); // 与固定密钥异或
}
return base64_encode($result);

触发时机： server/public/install/install.php 第95行 — $step == 5 时自动调用。

二、版本升级时上报域名 + 错误信息

文件： server/application/admin/logic/UpgradeLogic.php

行为： 每次触发版本升级（包括下载更新包），都会向官方服务器 POST 以下信息：

// 第266-277行 - addlog()
$data = [
    'version_id'  => $data['id'],
    'version_no'  => $data['version_no'],
    'domain'      => $_SERVER["SERVER_NAME"],  // 你的服务器域名
    'type'        => 2,
    'product_id'  => 1,
    'update_type' => $data['update_type'],
    'status'      => $status ? 1 : 0,
    'error'       => self::$error           // 升级失败时的错误信息
];
Requests::post('https://server.likeshop.cn/api/version/log', [], $data);

三、授权验证时上报域名

文件： server/application/admin/logic/UpgradeLogic.php

行为： 每次验证升级权限时，将域名发送至官方：

// 第450-452行 - verify()
$domain = $_SERVER['SERVER_NAME'];
$remoteUrl = 'https://server.likeshop.cn/api/version/verify?domain='.$domain.'&...';
Requests::get($remoteUrl);

修改汇总

1. 安装上报 — server/public/install/model.php

• installLog() 方法：移除所有 curl 请求代码，直接 return true，安装流程不受影响

2. 升级日志上报 — server/application/admin/logic/UpgradeLogic.php

• addlog() 方法：移除向 server.likeshop.cn/api/version/log 发送域名+错误信息的逻辑，直接 return true

3. 授权验证上报 — server/application/admin/logic/UpgradeLogic.php

• verify() 方法：移除向 server.likeshop.cn/api/version/verify 发送域名的请求，直接返回 has_permission => true，升级功能依然可以正常使用（不再需要远程鉴权）

注意：verify() 改为本地直接放行后，后台”系统升级”功能仍可正常下载和安装更新包，只是跳过了官方的域名授权验证步骤。

 

说明：当前修改仅为技术研究，如需商业运营，请购买官方授权。