【实战篇】记一次蚁剑无文件连接phpstudy后门
【实战篇】记一次蚁剑无文件连接phpstudy后门
Hello,这里是一名白帽的成长史~今天继续来分享一下HW期间的案例。在HW期间,发现某IP频繁发起扫描攻击。
后续通过phpstudy后门进行反制,一起来看看吧~
Part.1
漏洞说明
漏洞介绍
PhpStudy是一款集安全,高效,功能与一体,支持一键LAMP,LNMP,集群,监控,网站,FTP,数据库,JAVA等100多项服务器管理功能的国产PHP调试环境的程序集成包。
在2016以及2018年某些版本中,存在后门可直接进行RCE。
漏洞代码
后门代码存在于\ext\php_xmlrpc.dll模块中:
通过发送以下两个字段,可执行系统命令:
Accept-Encoding:gzip,deflate
Accept-Charset:base64加密后的命令例如执行whoami命令:
执行成功:
ZWNobyBzeXN0ZW0oIndob2FtaSIpOw==
影响范围
Phpstudy+2016版+php-5.4
Phpstudy+2018版+php-5.2.17
Phpstudy+2018版+php-5.4.45
Part.2
漏洞利用
信息收集
通过威胁情报查询攻击IP,并无域名绑定信息:
攻击IP开启80,3389等服务:
尝试直接访问80端口,为初始页面:
存在phpmyadmin服务:
存在phpinfo页面,且版本为5.4.45:
判断目标服务器使用phpstudy进行搭建。
漏洞利用
尝试执行系统命令,发现存在后门:
将一句话木马进行base64加密:
使用蚁剑进行连接,密码为上面的123:
添加请求头字段,发送一句话木马:
连接成功:
溯源分析
翻找本地文件,可以找到大量作案工具:
以及定点进行的信息收集:
//基本确定为红队机器
找到chrome浏览器数据,获取攻击者信息:
C:/Users/Administrator/AppData/Local/Google/Chrome/UserData/Default/Login Data
也可以通过以下两款工具直接读取:
https://github.com/AlessandroZ/LaZagne
https://github.com/djhohnstein/sharpweb
//获取京东(手机号)以及微步用户名信息。
修复方法:
1、可以从PHP官网下载原始php-5.4.45版本或php-5.2.17版本,替换其中的php_xmlrpc.dll:
https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip
https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip2、目前phpstudy官网上的版本不存在后门,可在phpsudy官网下载安装包进行更新。
Part.3
结语
好啦,以上就是今天的全部内容了~