phpStudy_2016-2018_RCE漏洞复现

---

前言

phpstudy漏洞在当时的影响还是蛮大的，所以决定对phpstudy存在的漏洞进行解析复现。

---

一、phpStudy_2016-2018_RCE是什么

Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包，通过集成Apache、PHP、MySQL、phpMyAdmin等多款软件一次性安装，无需配置即可直接安装使用，一键搭建。
其中2016、2018版本的phpstudy存在被黑客恶意篡改后形成的RCE漏洞。该漏洞可以直接远程执行系统命令。

二、漏洞存在的文件位置

后门代码存在于\ext\php_xmlrpc.dll模块中，至少有2个版本：
phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45。
其中：
phpStudy2016查看：

\phpStudy\php\php-5.2.17\ext\php_xmlrpc.dll
\phpStudy\php\php-5.4.45\ext\php_xmlrpc.dll

phpStudy2018查看：

\PHPTutorial\PHP\PHP-5.2.17\ext\php_xmlrpc.dll
\PHPTutorial\PHP\PHP-5.4.45\ext\php_xmlrpc.dll

三、漏洞分析

通过 IDA分析xmlrpc.dll发现，被植入危险函数eval()。

xmlrpc.dll中的初始化函数request_startup_func被篡改:当发起HTTP请求的数据包中包含“Accept-Encoding”字段时，就会进入黑客自定义的攻击流程。

当Accept-Encoding字段的信息为“compress,gzip”时，触发系统收集功能。

当Accept-Encoding字段的信息为“gzip,deflate”时，再进一步判断Accept-Charset字段，只有当Accept-Charset字段为一些特定字符时才会触发漏洞。

四、漏洞复现

环境搭建

虚拟机中安装phpstudy2016或者phpstudy2018，运行5.2.17或5.4.45版本。

能正常访问web站点。

漏洞触发

开启BP代理，拦截数据流量。

重构HTTP请求包。
请求中添加一项参数 Accept-Charset：系统命令。

将系统命令代码进行Base64转码，如system(‘whoami’);

重放HTTP请求包。

写入一句话木马。


菜刀链接。

总结

本文通过复现 phpstudy 的远程执行漏洞，在模拟漏洞攻击的过程中学习技术，锻炼思维。该漏洞可以直接执行系统命令，属于高危漏洞。
下一篇：
phpstudy漏洞检测利用脚本(EXP)编写