专栏首页玄魂工作室集成环境phpstudy后门利用复现

集成环境phpstudy后门利用复现

0x00 简介


phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境

0x01 漏洞概述


使用广泛的PHP环境集成程序包phpStudy被公告疑似遭遇供应链攻击,程序包自带PHP的php_xmlrpc.dll模块隐藏有后门(来自雷神众测)

0x02 影响版本


phpStudy20161103版本:

php5.4.45与php5.2.17

phpStudy20180211版本:

php5.4.45与php5.2.17

0x03 环境搭建


公众号回复“phpstudy环境”,解压后无脑安装即可

0x04 漏洞利用


首先检测后门是否存在,后门位置:

\phpstudy\PHPTutorial\php\php-5.2.17\ext\

\phpstudy\PHPTutorial\php\php-5.4.45\ext\

找到目录下的php_xmlrpc.dll文件,用文本打开,搜索eval关键字:

如图所示,可判断存在后门

然后用存在漏洞的PHP版本进行启动服务,我使用的是5.4.45,切换版本的位置如图

然后随意访问一个php文件,拦截数据包,添加如下的请求头字段:

accept-Encoding中逗号后面的空格要去掉

Accept-Charset为system('ipconfig')的base64编码

accept-Encoding:gzip,deflate
Accept-Charset:c3lzdGVtKCdpcGNvbmZpZycpOw==

repeater重放数据包,成功触发后门:

0x05 修复方式


从PHP官网下载原始php-5.4.45版本或php-5.2.17版本,替换其中的php_xmlrpc.dll,下载地址:

https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip

https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip

检测工具:

https://www.xp.cn/zijian/

后门利用脚本:

https://github.com/NS-Sp4ce/PHPStudy_BackDoor_Exp

参考链接:

https://mp.weixin.qq.com/s/dTzWfYGdkNqEl0vd72oC2w

本文分享自微信公众号 - 玄魂工作室(xuanhun521)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-09-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Kali Linux Web渗透测试手册(第二版) - 6.2 - 文件包含和文件上传

    thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt

    用户1631416
  • 看代码学安全(7 )- parse_str函数缺陷

    --------------------------------------------------------------------------------...

    用户1631416
  • 看代码学安全(8 )preg_replace函数之命令执行

    --------------------------------------------------------------------------------...

    用户1631416
  • 集成环境phpstudy后门利用复现

    phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安...

    7089bAt@PowerLi
  • phpStudy隐藏后门预警

    近日,phpStudy被公告疑似遭遇黑客攻击,程序包自带PHP的php_xmlrpc.dll模块隐藏有后门,经网友确认phpStudy2016、phpStud...

    洛米唯熊
  • 支付宝小程序获取 user_id(openid) ThinkPHP版

    生成应用私钥和应用公钥后,复制应用公钥,在 [ 开发中心—小程序应用—选择小程序-设置–开发设置–设置接口加密方式 ]

    WindrunnerMax
  • Linux 6 下编译安装 PHP 5.6

    Leshami
  • Ubuntu 16.04 编译安装 PHP 7.2

    上一篇文章 Linux 下 Nginx + PHP 环境的配置 扯了那么多复杂的概念,现在让我来说一说怎么把它用在实践之中。

    zgq354
  • linux学习第四十二篇:PHP扩展模块安装

    PHP扩展模块安装 查看模块: /usr/local/php/bin/php -m 下面安装一个redis的模块 cd /usr/local/src/ ...

    用户1215343
  • Google SQL 注入搜索列表:2018最新版

    这是一个Google注入查询列表(傻瓜式),更新于2018年;根据一些关键字和URL结构,可批量查询出存在安全隐患的站点。

    HACK学习

扫码关注云+社区

领取腾讯云代金券