,其中通报了警方发现PhpStudy软件被种入后门后进行的侦查和逮捕了犯罪嫌疑人的事情。...用PhpStudy的Web狗还挺多的,曾经我还是Web狗的时候也用过几天,不过因为不习惯就卸了。...还记得当初会用PhpStudy的原因是在网上自学一些Web方向的课程时,那些课程中就是使用PhpStudy。在拿到样本后,我就对PhpStudy中的后门进行了一波逆向分析。...我拿到的是2018 phpstudy的样本: MD5 (php_xmlrpc.dll) = c339482fd2b233fb0a555b629c0ea5d5 对字符串进行搜索,很容易的搜到了函数:sub...对美国受影响的目标进行简单的探查发现基本都是属于IDC机房的机器,猜测都是国人在购买的vps上搭建的PhpStudy。
背景介绍 2019/09/20,一则杭州警方通报打击涉网违法犯罪专项行动战果的新闻出现在我的朋友圈,其中通报了警方发现PhpStudy软件被种入后门后进行的侦查和逮捕了犯罪嫌疑人的事情。...用PhpStudy的Web狗还挺多的,曾经我还是Web狗的时候也用过几天,不过因为不习惯就卸了。...还记得当初会用PhpStudy的原因是在网上自学一些Web方向的课程时,那些课程中就是使用PhpStudy。在拿到样本后,我就对PhpStudy中的后门进行了一波逆向分析。 2....我拿到的是2018 phpstudy的样本: MD5 (php_xmlrpc.dll) = c339482fd2b233fb0a555b629c0ea5d5 对字符串进行搜索,很容易的搜到了函数:sub...对美国受影响的目标进行简单的探查发现基本都是属于IDC机房的机器,猜测都是国人在购买的vps上搭建的PhpStudy。 4.
PhpStudy适合新手用来学习 windows 服务器配置使用,不过 windows 服务器麻烦在配置好 php 环境之后,还需要额外安装一些组件程序,比如 FTP 服务器端。...那么我们跟着Windows VPS 服务器一键 phpStudy 安装环境搭建教程来完成 phpstudy 环境下ftp server的搭建吧。...我们登陆到之前安装好 phpstudy 的 windows 服务器中,在上图所示目录中,能够找到 ftp server 教程的快捷链接,打开后会找到 ftp server 软件的下载地址,把他下载到服务器中并运行安装...点击添加按钮,输入要添加的 ftp 账号名字。 ? 在常规选项卡中勾选密码并输入 ftp 密码。 ? 最后点击共享文件夹添加目录及设置权限。 ?...好了现在你可以在本地电脑用 ftp 软件客户端来连接 windows 服务器了,不会使用 ftp 软件的去看看FTP 软件使用教程。总体来说还是蛮简单的,点击几次鼠标就可以轻松完成了。
复现环境 phpstudy2016 +win10 复现过程 启动有漏洞的phpstudy pcat的检测脚本如下 python版本: # -*- coding:utf8 -*- __author__='...dirs: pcheck(os.path.join(path, name)) pass if __name__ == '__main__': foo() 放在phpstudy...5.4.45\ext\php_xmlrpc.dll === @eval(%s('%s')); %s;@eval(%s('%s')); [Finished in 10.2s] 可以发现 主要是这两个版本的phpstudy...: 48 Connection: close Content-Type: text/html desktop-8ai2nf3\11466 desktop-8ai2nf3\11466test 需要注意的的两点...后门") # if len(sys.argv) < 2: # print("python phpstudy.py http://127.0.0.1") # else: # Poc(sys.argv
0x01:前言 近日,phpStudy被公告疑似遭遇黑客攻击,程序包自带PHP的php_xmlrpc.dll模块隐藏有后门,经网友确认phpStudy2016、phpStudy2018的部分版本有后门...,建议使用该版本的用户立即进行安全加固处理。...用户可以通过搜索php_xmlrpc.dll模块中包含“@eval”关键字快速判断是否是存在后门的版本,命令参考: findstr /m /s /c:"@eval" *.* ?...0x02:预防 phpStudy启动时默认加载php-5.4.45版本的PHP,该版本存在后门,可以从PHP官网下载原始php-5.4.45版本或php-5.2.17版本,替换其中的php_xmlrpc.dll
本文为看雪论坛优秀文章 看雪论坛作者ID:lipss PHP环境集成程序包phpStudy被公告疑似遭遇供应链攻击,程序包自带PHP的php_xmlrpc.dll模块隐藏有后门。...影响版本 Phpstudy 2016 php\php-5.2.17\ext\php_xmlrpc.dll php\php-5.4.45\ext\php_xmlrpc.dll Phpstudy 2018...分析过程 1、定位特征字符串位置 2、静态分析传参数据 3、动态调试构造传参内容 php_xmlrpc.dll PHPstudy 2018与2016两个版本的里的PHP5.2与PHP5.4版本里的恶意...动态调试构造传参内容 OD动态调试传参值需要对httpd.exe进程进行附加调试,phpstudy启用的httpd进程有两个。一个是带有参数的,一个是没有带参数的。...在下断的时候选择没有参数的httpd.exe下断才能触发后门。
---- 下载和安装 先wget下载 wget -c http://lamp.phpstudy.net/phpstudy.bin 再给对应的权限(自己服务器,暂时自己用,所以暂时744权限) chmod.../phpstudy.bin 但是你会发现有一行是否安装mysql提示 选不安装 这样只需要编译nginx+php5.4 【phpstudy还是蒲老师很早介绍的, 应该有快2年了,感谢:)】 ---...都没有对应的PATH文件 自己想,环境变量可能在内存中 这个时候,自己添加PATH,再 ---- 看一下对应的phpstudy.sh 一些user权限判断 一些检查 ? 启动服务的方法 ?...关闭服务器的方法 ? 卸载phpstudy的方法 ? 重启 ? vhost添加 ? vhost删除 ?...---- 一些简单想法 本来想把对应的位置移动一下的 但是,看了下 phpstudy.sh 的shell 里面都是写死的 如果转移的话,以后肯定会有问题 那没办法, 只能放在 根目录了....
问题概要 有问题的版本如下 phpStudy20180211版本 php5.4.45与php5.2.17 ext扩展文件夹下的php_xmlrpc.dll phpStudy20161103版本 php5.4.45...环境准备 本次使用的是之前下载安装在本地的phpStudy20180211官网版本 官网下载地址 phpStudy 2018版本下载及更新日志 - phpStudy交流社区 https://www.xp.cn...这两个官网下载文件,已本地检查过对应的组件,已经修复了,但是hash却与页面给的不同,保留的下载页面如下: ? ? ?...本地算下hash后进行对比,发现2018版是不对的,但本地解压安装后,查对应的组件发现没有问题,很奇怪。 ? 几年前下载的存在问题的2016版本hash如下,与上图官网提供的明显是不同的: ?...目前只有一家引擎对该组件进行了标记,第一次本地使用IDA打开的时候并没有任何关于pdb信息的提示,只有在官网发布的已编译成二进制文件的dll里,打开时才会提示存在pdb信息。
0x01 漏洞简介 2019年9月20日,网上传出 phpStudy 软件存在后门,随后作者立即发布声明进行澄清,其真实情况是该软件官网于2016年被非法入侵,程序包自带PHP的php_xmlrpc.dll...更多漏洞细节参考文章:PHPStudy后门事件分析 0x02 环境准备 本次漏洞复现的演示靶场为phpStudy 2018中的php-5.2.17+Apache环境 phpStudy 2018 后门版...:点击下载 提取码:nlnq 靶机环境搭建成功后,即可访问phpinfo页面 0x03 漏洞检测 phpStudy的后门问题代码存在于以下路径文件中 # phpStudy2016路径 php\php...BurpSuite-Extender-phpStudy-Backdoor-Scanner:点击下载 插件安装成功后,在每次抓包时就会自动的扫描分析漏洞是否存在,若存在漏洞,则会提示相应的告警信息。...写入webShell 写shell的前提是知道网站的物理路径,可以自行通过system()命令获取到网站路径 # 写入命令: fputs(fopen('C:\phpStudy\PHPTutorial\WWW
一,下载最新版本phpStudy一键安装包(下载地址在文末,如果需要运行PHP 7环境,则还需要安装VC运行库) 二、安装phpStudy程序 将下载的phpStudy程序解压到某个分区的根目录中(请不要放在中文目录中...三,新建一个数据库 在浏览器址栏中输入:http://localhost/phpmyadmin/ (或者点击phpStudy面板上的“MySQL管理器”中的phpmyadmin) 进入数据库管理工具登录页面...,用户名及密码默认都是:root 进入数据库管理工具页面后,点击左上角的数据库,在新建数据库中输入:wp(名称可任意),整理选择:utf8_general_ci,如图: 四,下载安装最新WordPress...程序 wordpress最新版下载:https://wordpress.org/download/ 1、先在你的phpStudy安装目录X:\phpStudy\WWW下新建一个专门用于存放不同网站数据的文件夹...补充说明:如果phpStudy用于本地测试环境,上面的数据库主机如果填“localhost”会导致网站运行很慢,解决办法是改为“127.0.0.1” 输入站点信息,标题可以在网站修改,但是用户名(用户名必须为英文
网上有着许多的网站集成搭建软件,比较出名的就有wamp,xampp,phpstudy等等 现在就来讲一讲phpstuy的php版本自由切换 安装下载之类的就不说了,http://www.phpstudy.net.../ 官网就有,十分简单 看看界面,软件的作者将软件做的其实是挺人性化的,可以自己选择php版本,如下: 也可以升级(不过,说是升级,不如说是替换),私人订制,你懂得 软件有着很详细的文档说明,我就不多说了...现在重头戏来了,在php7出来了,或者更高版本的php出来后,软件就不能正确升级了,这也不能怪作者,毕竟,软件是在php7前写的(当然,作者现在已经更新了,支持php7) 这个时候,我们就只能自力更生了...:“如何手动修改phpstudy的php版本” 仔细观察了一下软件原来的升级机制,找到方/【当下浏览的服务器和开发工具是哪些】/法 第一步,下载所需要的php版本包,我下的是php7.0.5 将zip包解压到...phpstudy安装目录下改名为php75 复制一份php.ini-development改名为php.ini,打开,找到extension_dir = "ext",将前面的分号去掉,OK 第一步 改软件是通过替换
作者:lu4nx@知道创宇404积极防御实验室 作者博客:《使用 Ghidra 分析 phpStudy 后门》 原文链接:https://paper.seebug.org/1058/ 这次事件已过去数日...1 工具和平台 主要工具: Kali Linux Ghidra 9.0.4 010Editor 9.0.2 样本环境: Windows7 phpStudy 20180211 2 分析过程 先在 Windows...7 虚拟机中安装 PhpStudy 20180211,然后把安装完后的目录拷贝到 Kali Linux 中。...因此,先去找到有后门的文件: lu4nx@lx-kali:/tmp/phpStudy$ find ./ -name php_xmlrpc.dll -exec md5sum {} \; 3d2c61ed73e9bb300b52a0555135f2f7...《phpStudy 遭黑客入侵植入后门事件披露 | 微步在线报告》 《PhpStudy 后门分析》,作者:Hcamael@知道创宇 404 实验室
打开站点域名管理 填写站点管理内容,然后点击新增,左侧会增加更才填写的内容,然后点击保存设置并生产配置文件 修改hosts本地映射 Paste_Image.png
0x01 漏洞简介 自从2019年phpStudy爆出后门事件后,2020年9月再次爆出存在nginx解析漏洞。该漏洞是phpStudy默认使用的nginx版本是Nginx1.15.11。...nginx在解析文件时,由于错误的配置造成文件以错误的格式执行。...影响版本: phpStudy <= 8.1.0.7 (Windows版) 0x02 漏洞原因 1、由于用户的错误配置导致 nginx 把以 .php 结尾的文件交给 fastcgi 处理,为此可以构造...3、 最重要的一点是 php-fpm.conf 中的 security.limit_extensions 配置项限制了 fastcgi 解析文件的类型(即指定什么类型的文件当做代码解析),此项设置为空的时候才允许...0x03 环境准备 本次复现环境采用Windows版的phpstudy v8.1.0.1 phpstudy v8.1.0.1 点击下载 提取码:y6qt 安装成功后一键启动WNMP即可 0x04 漏洞复现
最近项目需求需要用到mongodb数据库,网上搜了一堆,结果不是复制安装mododb的解说成mongo的,就是安装mongo的说成是mongodb的, 一.phpstudy扩展mongoDB的前提 记得先安装...PHPstudy 最好去官网上下载的PHPstudy版本 ?...运行PHPstudy,先点击停止,点击切换版本,把PHP版本切换到5.5及以上的版本,本文采用5.6的版本,PHP版本越高,相对的漏洞越少,相对越稳定 ?...添加完成后,保存并退出php-ini 四.缺少导致的错误 缺少mongo会在调用mongodb数据库的_id的详情时提示页面404错误, 缺少mongodb会提示以下错误 ?...五.点击PHPstudy的重启,刷新PHPinfo页面,搜索mongo和mogodb ? ? 出现上图,就证明phpstudy扩展mongodb大功告成
下载phpStudy 2016以及pikachu靶场 pikachu靶场GitHub下载地址: https://github.com/zhuifengshaonianhanlu/pikachu phpStudy...2016 官方下载地址: https://www.xp.cn/download.html 安装pikachu 将下载好的pikachu文件放到 phpStudy\WWW 目录下,并解压...将 pikachu-master文件夹重命名为 pikachu 进入 pikachu 目录中再进入 \inc 目录下修改 文件config.inc.php文件,修改填写MySQL数据库密码账号...(默认没动过phpStudy安装的mysql数据库默认密码账号 root)如下图操作 启动phpStudy(默认端口是 80)在浏览器访问页面,如果你是本地安装地址为:127.0.0.1/pikachu
phpstudy是一款php一键环境的安装包,里面包含了多版本的php,可以随意切换php版本等 下面是多站点的配置教程 安装并运行phpstudy 点击其他选项菜单 ? 点击站点域名管理 ?...输入自己想要的网站域名,选择网站目录,端口不变(注:网站域名可以随便取,因为这是本地虚拟配置的域名,但最好不要和大网站冲突) 点击新增再点击保存设置并生成配置文件 点击host管理 ?...这个是用于配置本地虚拟域名,host可以屏蔽域名并把域名指向设定的ip,比如我设定腾讯的域名指向百度的ip,那么这台电脑输入qq.com会转向百度的网站 ?...配置好之后点击保存,如果没有权限保存请获取管理员权限 这样的话,你就可以通过输入你设定的域名,来访问本地的项目了 本文为仙士可原创文章,转载无需和我联系,但请注明来自仙士可博客www.php20.cn...php字符串操作函数大全 下一篇: mysql数据库多表各种
1 工具和平台 主要工具: •Kali Linux•Ghidra 9.0.4•010Editor 9.0.2 样本环境: •Windows7•phpStudy 20180211 2 分析过程 先在 Windows...7 虚拟机中安装 PhpStudy 20180211,然后把安装完后的目录拷贝到 Kali Linux 中。...因此,先去找到有后门的文件: lu4nx@lx-kali:/tmp/phpStudy$ find ./ -name php_xmlrpc.dll -exec md5sum {} \; 3d2c61ed73e9bb300b52a0555135f2f7...%E5%90%8E%E9%97%A8.html [2] https://github.com/jas502n/PHPStudy-Backdoor [3] 《phpStudy 遭黑客入侵植入后门事件披露...| 微步在线报告》 [4] 《PhpStudy 后门分析》作者:Hcamael@知道创宇 404 实验室
image.png 安装 安装方法(phpstudy for linux V0.2公测版) 使用 SSH 连接工具 连接到您的 Linux服务器后,根据系统执行相应命令开始安装(大约2分钟完成面板安装...download.xp.cn/install.sh && sudo install.sh 安装成功后如下: image.png 访问登录后台 登录界面简而朴实 image.png 防火墙报表 image.png 还是很漂亮的。
下载phpStudy 2016以及DVWA靶场 phpStudy 2016 官方下载地址: https://www.xp.cn/download.html 下载DVWA靶场 我目前就找到了一个下载地址...2016 进入到 网站跟目录 中,将下载好的靶场压缩包放置到根目录中 并将文件名重命名为 DVWA 方便日后访问 到DVWA的目录下找到 config.inc.php.dist 文件将后缀去掉改成...config.inc.php 打开 config.inc.php 文件修改里面的内容 如实际情况修改数据连接信息等,PhpStudy数据库默认账号密码应该是 root $_DVWA[ ‘db_server...’ ] = ‘127.0.0.1’; // 数据库连接地址 $_DVWA[ ‘db_database’ ] = ‘dvwa’; // 库名 $_DVWA[ ‘db_user’ ] = ‘root’; /.../ 数据库账号 $_DVWA[ ‘db_password’ ] = ‘root’; // 数据库密码 图片 DVWA靶场默认登录账户为:admin DVWA靶场默认登录密码为:password 登录查看靶场是否可用
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频
