phpstudy后门getshell

昨天在测试时候监听着我自己服务器的80端口，突然有个请求过来了。。一看ip，和我在同一个公网网段。可能是有人在扫我吧。

在浏览器里直接访问他的ip，发现80端口上搭了一个php服务。直接访问是一个phpstudy的探针。

 

看到phpstudy，忽然想起前些天的phpstudy后门。在网上查了一下，

我看的是这篇文章：

https://www.cnblogs.com/-qing-/p/11575622.html

看了一下，这个服务器支持 xmlrpc 模块，

在这个探针中可以看到当前路径和www的路径是 c:\phpstudy\www\

看了一下文章，基本就是这么回事：如果你的phpstudy有后门，可以在该环境中执行任意php代码。代码的位置在，发往这个服务器的任何http请求头中，增加一个字段，accept-charset，这个字段的值，就是将代码base64编码以后的结果。

 

将一段php写文件的代码编码一下：

$myfile=fopen("c:\phpstudy\www\p.php","w");$t="";fwrite($myfile,$t);fclose($myfile);

然后请求一下根目录，抓包，并在请求头重添加 accept-charset 字段，这个字段的值是上面base64编码的结果，

 

注意发请求时候有个坑，在上面的Accept-Encoding字段里，“deflate”前面默认是有一个空格的，带着这个空格发请求的话代码会执行失败，把这个空格删去就好了。

菜刀连接http://xx.xx.xx.xx/p.php，使用的参数是666999ttt，然后就getshell了，

打开菜刀里的命令终端，执行一下whoami，看一下权限，是system，看起来权限还很大…只能说phpstudy牛皮！

接下来就是增加用户、添加权限等操作了。下面是添加好用户远程桌面连接的截图。

发现php里面getshell的骚思路还是很多的，打算接下来练练手。