其实这个脚本早就写完了,但是由于之前重保工作以及上周参加某攻击队,导致一再耽搁 phpstudy 后门现在拿出来有点炒冷饭的嫌疑了,具体去看下面的文章吧 https://www.freebuf.com/articles/others-articles/215406.html https://paper.seebug.org/1044/
此检测脚本可以通过发送特定字符检测服务器是否存在phpstudy后门 同时提供参数phpstudy-backdoor.getwebshell 来进行控制是否直接利用后门上传一个webshell
下载lua脚本,放入Nmap的脚本文件夹内(具体可以参照上一篇文章) 检测是否存在后门 nmap 192.168.1.100 --script=phpstudy-backdoor 上传webshell nmap 192.168.1.100 --script=phpstudy-backdoor --script-args phpstudy-backdoor.getwebshell=true
搭建测试环境
phpstudy 应该就不用说了,存在漏洞的phpstudy文末会给出
网站运行起来如下
可以看到,目前网站目录下仅有 l.php 和 phpinfo.php
现在我们来使用我们的检测脚本进行漏洞检测
通过我们的工具直接看到,存在漏洞,使用的payload是 echo "style_black";
通常漏洞检测到此就可以提交上报了
如果想进一步的进行攻击,需要设置参数
可以看到,成功上传webshell,地址为 192.168.50.152/.details.php
我们去网站根目录进行查看是否存在webshell
我们看一下此文件中是否存在有效的php代码
可以看到,文件中包含一句话木马代码,木马的密码为 cknife
我们使用C刀连接一下
脚本和存在后门的phpstudy链接如下
http://67.209.190.27:12138/apps/nextcloud/web/index.php/s/Gaqq9Ebnji5dJ4d
密码:phpstudy$