phpStudy后門漏洞利用復現
一、漏洞描述
Phpstudy軟件是國內的一款免費的PHP調試環境的程序集成包,通過集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer
多款軟件一次性安裝,無需配置即可直接安裝使用,具有PHP環境調試和PHP開發功能,在國內有着近百萬PHP語言學習者、開發者用戶。
正是這樣一款公益性軟件,2018年12月4日,西湖區公安分局網警大隊接報案稱,某公司發現公司內有20余台計算機被執行危險命令,疑似遠程控制抓取賬號密碼等計算機數據 回傳大量敏感信
二、漏洞影響版本
phpStudy2016
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll
三、漏洞復現
1、復現環境win7+phpStudy 2016(php-5.4.45+Apache)
2、檢查是否引用了php_xmlrpc.dll文件(只要引用了該文件,惡意代碼就可以觸發)
2.1通過phpinfo下查看
2.2通過php.ini配置文件查看
3、burp抓包,構造payload
注: Accept-Encoding要把gzip, deflate 里逗號后面的空格去掉,不然命令執行不成功
Accept-Charset 的值就是執行的命令, 需要進行base64編碼
4、構造payload,查看用戶名,payload如下
5、查看返回包,發現成功執行命令
----------------------------------------------------------------------------------------
Phpstudy被暴存在隱藏后門-檢查方法:https://www.cnblogs.com/yuzly/p/11565997.html