phpstudy后門

一、漏洞描述

Phpstudy軟件是國內的一款免費的PHP調試環境的程序集成包，通過集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer

多款軟件一次性安裝，無需配置即可直接安裝使用，具有PHP環境調試和PHP開發功能，在國內有著近百萬PHP語言學習者、開發者用戶。

正是這樣一款公益性軟件，2018年12月4日，西湖區公安分局網警大隊接報案稱，某公司發現公司內有20余臺計算機被執行危險命令，疑似遠程控制抓取賬號密碼等計算機數據 回傳大量敏感信

二、后門文件路徑

phpStudy2016

php\php-5.2.17\ext\php_xmlrpc.dll

php\php-5.4.45\ext\php_xmlrpc.dll

phpStudy2018

PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll

PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

三、后門檢測

我們只需要以文本打開該文件，搜索@eval這個代碼,如果搜索出@eval(%s(‘%s’),則代表后門存在。

檢查是否引用了php_xmlrpc.dll文件(只要引用了該文件，惡意代碼就可以觸發)

通過php探針查看

通過php.ini配置文件查看

四、后門利用

burp抓包，構造payload

Accept-Encoding要把gzip, deflate里逗號后面的空格去掉，不然命令執行不成功

Accept-Charset 的值就是執行的命令, 需要進行base64編碼

這里執行的是system('ipconfig');

總結

以上是生活随笔為你收集整理的phpstudy后门的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。