phpstudy后门任意代码执行漏洞验证

一.详细描述

Phpstudy是一款免费的PHP调试环境的程序集成包。该程序包集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件，一次性安装，无需配置即可直接使用，具有PHP环境调试和PHP开发功能，在国内有着近百万的PHP语言学习者和开发者用户。

2019年9月20日，网曝非官网的一些下载站中的phpstudy版本存在后门文件，该后门可以造成远程PHP代码执行、执行操作系统命令、内网渗透、数据泄露等危害。PhpStudy后门代码存在于extphp_xmlrpc.dll模块中，只要php成功加载了该后门文件，攻击者仅仅需要构造对应后门的请求头便可以触发后门，执行任意系统命令。

二.目前已知受影响的phpstudy版本

phpstudy 2016版php-5.4
phpstudy 2018版php-5.2.17
phpstudy 2018版php-5.4.45

三.后门检测分析

通过分析，后门代码存在于\ext\php_xmlrpc.dll模块中

phpStudy2016路径

php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll

phpStudy2018路径

PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

用文本编辑器打开此文件查找@eval，文件存在@eval(%s(‘%s’))证明漏洞存在，如图：