##phpStudy简介
phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等。
##漏洞概述
使用广泛的PHP环境集成程序包phpStudy被公告疑似遭遇供应链攻击,程序包自带PHP的php_xmlrpc.dll模块隐藏有后门。
##影响版本
phpStudy20161103版本:
php5.4.45与php5.2.17
phpStudy20180211版本:
php5.4.45与php5.2.17
##漏洞检测
1、查看phpStudy下相应有后门的php版本的文件 php_xmlrpc.dll
记事本打开,搜索 eval
,如下表示,则代表有后门。
2、利用工具:PHPStudy_BackDoor_EXP
链接地址:https://github.com/NS-Sp4ce/PHPStudy_BackDoor_Exp
3、访问任意一个php文件,进行burp抓包修改
添加请求字段:accept-Encoding
和 Accept-Charset
- accept-Encoding:gzip,deflate
- Accept-Charset:c3lzdGVtKCdpcGNvbmZpZycpOw== //system(“ipconfig”)的base64
##漏洞修复
去官网重新下载最新版
本文内容仅用于学习交流,切勿用于非法用途!