phpstudy后门任意代码执行漏洞验证

最新推荐文章于 2024-10-04 13:26:15 发布
原创 最新推荐文章于 2024-10-04 13:26:15 发布 · 3.1k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #信息安全

2019年,部分非官方渠道下载的PhpStudy版本被曝存在远程代码执行后门,影响多个版本。后门藏于php_xmlrpc.dll模块,通过特定请求头触发,可能导致数据泄露等风险。

一.详细描述

Phpstudy是一款免费的PHP调试环境的程序集成包。该程序包集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件,一次性安装,无需配置即可直接使用,具有PHP环境调试和PHP开发功能,在国内有着近百万的PHP语言学习者和开发者用户。

2019年9月20日,网曝非官网的一些下载站中的phpstudy版本存在后门文件,该后门可以造成远程PHP代码执行、执行操作系统命令、内网渗透、数据泄露等危害。PhpStudy后门代码存在于extphp_xmlrpc.dll模块中,只要php成功加载了该后门文件,攻击者仅仅需要构造对应后门的请求头便可以触发后门,执行任意系统命令。

二.目前已知受影响的phpstudy版本

phpstudy 2016版php-5.4
phpstudy 2018版php-5.2.17
phpstudy 2018版php-5.4.45

三.后门检测分析

通过分析,后门代码存在于\ext\php_xmlrpc.dll模块中

phpStudy2016路径

php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll

phpStudy2018路径

PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

用文本编辑器打开此文件查找@eval,文件存在@eval(%s(‘%s’))证明漏洞存在,如图:

最低0.47元/天 解锁文章
JSH_CDX
关注
海洋CMS admin_notify.php 远程代码执行漏洞复现(CVE-2024-30565)
0xSec
06-12 2311
海洋CMS admin_notify.php 接口处存在远程代码执行漏洞,经过身份验证的远程攻击者可利用该漏洞执行任意代码,写入后门文件,进而控制整个web服务器。
一个弱口令拿下shell(实战)
weixin_45945976的博客
10-28 1193
前期准备 1.首先信息收集一波确认目标,:fofa: body=“phpstudy探针” && title=“phpStudy 探针 2014” 2.找几个心仪的目标下手,打开的页面是这样的: 正文 1.记住这个绝对路径,后面用得上,然后页面拉到最后,使用弱口令对MySQL数据库连接进行检测。一般phpstudy默认配置的mysql账号密码为root/root,直接使用这个去尝试登录: 2.但是这种命中率五五开吧,这个不行,就换一个吧,毕竟这个测试,开头还是需要弱口令进去,或者自己也可
phpstudy后门
一个普普通通的博客
04-17 1657
phpstudy后门 一、漏洞描述 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer 多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。 正是这样一款公益性软件,2018年12月4日,西湖区公安分局网警大队接报案称,某公司发现公司内有20余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据 回传大量敏感信 二、后门
Phpstudy隐藏后门
热门推荐
Sylon的博客
09-24 3万+
Phpstudy隐藏后门 1.事件背景 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户 9月20日杭州公安微信公众账号发布了“杭州警方通报打击涉网违法犯...
记一次phpstudy后门引发的渗透测试
wuli1024的博客
01-19 1515
前段时间 phpstudy 被爆出存在后门,想到学校里的许多站都是用 phpstudy 做的环境,于是写了个脚本扫描了下,发现真的有中招的。
PhpStudy后门漏洞
chaojixiaojingang
09-08 5180
1.影响版本 phpstudy 2016版php-5.2.17 phpstudy 2016版php-5.4.45 phpstudy 2018版php-5.2.17 phpstudy 2018版php-5.4.45 2.后门检测分析 1)通过分析,后门代码存在于\ext\php_xmlrpc.dll模块中 (1)phpStudy2016路径: php\php-5.2.17\ext\php_xmlrpc.dll php\php-5.4.45\ext\php_xmlrpc.dll (2)phpStudy20
PhpStudy-PHP5.4.45后门漏洞应用程序(C++/base64/winhttp)
最新发布
吾名招财的博客
10-04 2384
翻到了多年前写的一篇文章,那时我成功渗透了一台钓鱼网站,想着要不凭此进入网络安全领域吧,奈何当时关于白帽子的“渗透测试”行为有很多争议,即未经授权的渗透测试就是犯罪,有些免费帮企业找漏洞的白帽子被抓了,要想在这一行有所精进就必须经过大量的实战,而像我这种技术水平不高的“初学者”最容易落下把柄了,哈哈最后经过深思熟虑还是脱离这一领域回归老本行了。
phpStudy后门漏洞复现
LuckySec
08-20 7629
0x01 漏洞简介 2019年9月20日,网上传出 phpStudy 软件存在后门,随后作者立即发布声明进行澄清,其真实情况是该软件官网于2016年被非法入侵,程序包自带PHPphp_xmlrpc.dll模块被植入隐藏后门,经过分析除了有反向连接木马之外,还可以正向执行任意php代码。 影响版本: phpStudy2016-php-5.2.17 phpStudy2016-php-5.4.45 phpStudy2018-php-5.2.17 phpStudy2018-php-5.4.45 更多漏洞细节
Phpstudy后门漏洞复现
qq_56426046的博客
09-10 3191
2019年9月20日,网上传出phpStudy软件存在后门,随后作者立即发布声明进行澄清,其真实情况是该软件官网于2016年被非法入侵,程序包自带PHPphp_xmlrpc.dll模块被植入隐藏后门,经过分析除了有反向连接木马之外,还可以正向执行任意php代码。
PHPStudy-BackDoor-EXP PHPstudy后门利用脚本 .zip
01-22
PHPStudy这样的环境中,后门可能被黑客利用,使得他们可以远程控制服务器,执行任意代码,甚至窃取敏感数据。 "软件/插件"的标签暗示了这个问题可能与PHPStudy的某个组件或者用户安装的插件有关。在Web开发中,...
phpStudy 后门版.rar
09-24
phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等。
phpstudy mysql日志_(实战)phpstudy漏洞+数据库日志写shell
weixin_33162568的博客
01-28 525
——真正的才智是刚毅的志向。今天没学多少东西,直到下午在看别人的文章的时候看到了phpstudy0day的关键词,好奇就查了查。其实这个洞有一段时间了,然后就准备google试试还能不能找到有洞的网站,直接google搜phpstudy 探针 2014。结果是这样的 ,我不得不感叹google太强了。前几页我就不打算看了,基本上已经被日穿了,或者洞补了。所以干脆向后面翻,说实话运气很重要,我刚尝试...
phpstudy漏洞
PushSafe
04-04 1037
PHP study 漏洞洞讲解 环境需要: 1.phpstudy 8.1.0.7 + nginx 1.5.11 pw:d3yw 搭建环境: 预期之内 phpstudy.exe安装完会是这样。 然后将 upload文件放在www文件夹下 然后打开form.html 开始复现。 漏洞原理: 研究ing ...
网站被攻击怎么处理 phpstudy存在后门漏洞
网站安全专家
09-27 3752
phpStudy于近日被暴露出有后门漏洞,之前的phpStudy2016,phpStudy2018部分版本,EXE程序包疑似被入侵者植入木马后门,导致许多网站及服务器被攻击,被篡改,目前我们SINE安全公司立即成立phpStudy安全应急响应小组,针对部分客户服务器上安装该PHP一键环境搭建的情况,进行了全面的漏洞修复与安全防护。第一时间保障客户的网站安全,以及服务器的安全稳定运行。关于该漏洞的详...
phpstudy后门(转自feng)
qq_45290991的博客
10-07 2152
几天前火绒说我的PHPstudy有马,我以为是误报没有在意,但接着我就在知乎上看到了PHPstudy真可能有后门,于是赶紧看了一下,还真有,是我之前下的2016版的,而我在官网下的2019的phpstudy_pro没有问题(文末给出了有后门(!!!)的安装包) 可以看到php-5....
phpstudy mysql 漏洞_phpstudy后门漏洞
weixin_30998797的博客
02-28 513
phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。但是存在后门漏洞,可直接getshell。漏洞存在版本:phpStudy2016php\php-5.2.17\ext...
php study 后门,phpstudy真的有后门吗?是的!附后门查询及解决办法-Go语言中文社区...
weixin_31600439的博客
03-10 346
网上看到phpstudy后门,简单探索复现了下,果然,不知不觉已经沦为肉鸡中的一员....目前测试发现phpStudy2016和phpStudy2018版本存在后门.简单记录下过程:环境配置phpstudy 2018php 5.4.45配置文件php.iniextension=php_xmlrpc.dll //该扩展默认开启漏洞验证漏洞定位/phpStudy2018/PHPTutorial...
php study 后门,phpStudy后门简要分析
weixin_31727937的博客
03-10 283
问题概要有问题的版本如下phpStudy20180211版本php5.4.45与php5.2.17ext扩展文件夹下的php_xmlrpc.dllphpStudy20161103版本php5.4.45与php5.2.17ext扩展文件夹下的php_xmlrpc.dll注:这两个官网下载的版本里,都没有发现php5.3版本下存在有问题的php_xmlrpc.dll,打开时会提示存在pdb路径...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值