phpstudy后门简单分析

最新推荐文章于 2024-01-19 10:11:21 发布
原创 最新推荐文章于 2024-01-19 10:11:21 发布 · 1.8k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文主要分析了PHPStudy的后门问题,通过检查php_xmlrpc.dll文件,发现存在恶意代码,涉及eval和gzuncompress函数,可能导致远程代码执行。文章提到了受影响的PHP版本,并提供了漏洞验证的相关IOC,包括IP、域名和MD5值。

感谢pcat师傅的文章:https://mp.weixin.qq.com/s/dIDfgFxHlqenKRUSW7Oqkw

 

20号得知phphstudy有后门,不知道官网的是不是也被入侵了,当时没有进行查看,,,由于当时正在秋招面试比较忙,鸽了几天有了下文:

被中马的为php_xmlrpc.dll这个dll文件,这个可以通过查找泄露字符串很容易通过脚本实现,就不贴了,可以以eval为关键字来进行搜索

实际测试官网下载phpstudy2018php-5.2.17php-5.4.45存在后门

上图为IDA搜索字符串得到的数据,由此可以基本验证这个dll文件为可以文件,接下来要验证他的控制流

反向链接:判断ACCEPT_ENCODING如果

最低0.47元/天 解锁文章
fa1lr4in
关注
phpStudy 后门版.rar
09-24
phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等。
phpstudy后门
一个普普通通的博客
04-17 1650
phpstudy后门 一、漏洞描述 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer 多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。 正是这样一款公益性软件,2018年12月4日,西湖区公安分局网警大队接报案称,某公司发现公司内有20余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据 回传大量敏感信 二、后门
phpstudy后门(转自feng)
qq_45290991的博客
10-07 2142
几天前火绒说我的PHPstudy有马,我以为是误报没有在意,但接着我就在知乎上看到了PHPstudy真可能有后门,于是赶紧看了一下,还真有,是我之前下的2016版的,而我在官网下的2019的phpstudy_pro没有问题(文末给出了有后门(!!!)的安装包) 可以看到php-5....
phpstudy后门利用
weixin_42140534的博客
03-25 926
0x01 漏洞简介 phpstudy是一个对初学php的人们很有帮助的工具,他集成的环境可以给初学者带来很多便捷之处,但是某些版本存在后门,如果服务器使用存在后门phpstudy搭建,这样可以直接被人家getshell 0x02 影响版本 phpstudy 2016版php-5.4 phpstudy 2018版php-5.2.17 phpstudy 2018版php-5.4.45 0x03 ...
php study 后门,phpStudy后门简要分析
weixin_31727937的博客
03-10 278
问题概要有问题的版本如下phpStudy20180211版本php5.4.45与php5.2.17ext扩展文件夹下的php_xmlrpc.dllphpStudy20161103版本php5.4.45与php5.2.17ext扩展文件夹下的php_xmlrpc.dll注:这两个官网下载的版本里,都没有发现php5.3版本下存在有问题的php_xmlrpc.dll,打开时会提示存在pdb路径...
Phpstudy隐藏后门
热门推荐
Sylon的博客
09-24 3万+
Phpstudy隐藏后门 1.事件背景 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户 9月20日杭州公安微信公众账号发布了“杭州警方通报打击涉网违法犯...
PhpStudy 后门分析
晓得哥的博客
09-29 1345
作者:Hcamael@知道创宇404实验室 时间:2019年9月26日 原文链接:https://paper.seebug.org/1044/ 背景介绍 2019/09/20,一则杭州警方通报打击涉网违法犯罪专项行动战果的新闻出现在我的朋友圈,其中通报了警方发现PhpStudy软件被种入后门后进行的侦查和逮捕了犯罪嫌疑人的事情。用PhpStudy的Web狗还挺多的,曾经我还是Web狗的时候也用过几...
记一次phpstudy后门引发的渗透测试
最新发布
wuli1024的博客
01-19 1503
前段时间 phpstudy 被爆出存在后门,想到学校里的许多站都是用 phpstudy 做的环境,于是写了个脚本扫描了下,发现真的有中招的。
PHPStudy后门事件分析
17bdw的编程备份笔记
09-24 94
PHP环境集成程序包phpStudy被公告疑似遭遇供应链攻击,程序包自带PHP的php_xmlrpc.dll模块隐藏有后门。经过分析除了有反向连接木马之外,还可以正向执行任意php代码。 影响版本 Phpstudy 2016 php\php-5.2.17\ext\php_xmlrpc.dll php\php-5.4.45\ext\php_xmlrpc.dll Phpstudy 2018 的...
全国中职网络安全B模块之国赛题远程代码执行渗透测试 PHPstudy后门漏洞分析
web13618542420的博客
07-31 732
需要工具和环境的可以加群809706080,有什么不会的也可以在里面提问,我看到会第一时间回答。
网站被攻击怎么处理 phpstudy存在后门漏洞
网站安全专家
09-27 3748
phpStudy于近日被暴露出有后门漏洞,之前的phpStudy2016,phpStudy2018部分版本,EXE程序包疑似被入侵者植入木马后门,导致许多网站及服务器被攻击,被篡改,目前我们SINE安全公司立即成立phpStudy安全应急响应小组,针对部分客户服务器上安装该PHP一键环境搭建的情况,进行了全面的漏洞修复与安全防护。第一时间保障客户的网站安全,以及服务器的安全稳定运行。关于该漏洞的详...
【漏洞复现】之PhpStudy后门”利用复现、修复及使用脚本快速复现(最全,转自https://www.cnblogs.com/yankaohaitaiwei/p/11604762.html)
qq_45290991的博客
10-07 1487
【漏洞复现】之PhpStudy后门”利用复现、修复及使用脚本快速复现 (本文仅为平时学习记录,若有错误请大佬指出,如果本文能帮到你那我也是很开心啦)   该复现参考网络中的文章,该漏洞复现仅仅是为了学习交流,严禁非法使用!!!    一、事件背景   北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后...
php study 后门,phpstudy真的有后门吗?是的!附后门查询及解决办法-Go语言中文社区...
weixin_31600439的博客
03-10 335
网上看到phpstudy后门简单探索复现了下,果然,不知不觉已经沦为肉鸡中的一员....目前测试发现phpStudy2016和phpStudy2018版本存在后门.简单记录下过程:环境配置phpstudy 2018php 5.4.45配置文件php.iniextension=php_xmlrpc.dll //该扩展默认开启漏洞验证漏洞定位/phpStudy2018/PHPTutorial...
【研究】PHPstudy后门利用
god_Zeo的安全博客
09-29 1680
【研究】PHPstudy后门利用1.环境2.原理3.影响版本4.后门检测5.漏洞利用 1.环境 测试的是这两个版本 phpStudy_2016.11.03 后门PhpStudy20180211 后门PhpStudy软件对于国内众多开发者而言,并不陌生。它是一款免费的PHP调试环境的程序集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimi...
phpstudy后门getshell
10-14 3883
昨天在测试时候监听着我自己服务器的80端口,突然有个请求过来了。。一看ip,和我在同一个公网网段。可能是有人在扫我吧。 在浏览器里直接访问他的ip,发现80端口上搭了一个php服务。直接访问是一个phpstudy的探针。 看到phpstudy,忽然想起前些天的phpstudy后门。在网上查了一下, 我看的是这篇文章: https://www.cnblogs.com/-qing-/...
phpstudy后门POC分析和EXP开发
qq_35664104的博客
01-24 2626
POC 2019年9月20日,网上传出 phpStudy 软件存在后门,随后作者立即发布声明进行澄清,其真实情况是该软件官网于2016年被非法入侵,程序包自带PHP的php_xmlrpc.dll模块被植入隐藏后门,可以正向执行任意php代码。 影响版本: phpStudy2016-php-5.2.17 phpStudy2016-php-5.4.45 phpStudy2018-php-5.2.17 phpStudy2018-php-5.4.45 后门存在于*\ext\php_xmlrpc.dll,用记
PHP常见后门修复,phpStudy后门RCE,复现/批量脚本/修复
weixin_33416318的博客
03-10 716
phpStudy后门介绍phpStudy是国内一款免费的PHP环境集成包,集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer等多款软件,无需配置即可直接安装使用,有着近百万PHP用户。近日被爆出phpStudy存在RCE后门,并通过验证复现。软件作者声明:phpstudy 2016版PHP5.4存在后门。实际测试官网下载phpstudy2018版php-5.2....
PhpStudy后门漏洞
chaojixiaojingang
09-08 5172
1.影响版本 phpstudy 2016版php-5.2.17 phpstudy 2016版php-5.4.45 phpstudy 2018版php-5.2.17 phpstudy 2018版php-5.4.45 2.后门检测分析 1)通过分析后门代码存在于\ext\php_xmlrpc.dll模块中 (1)phpStudy2016路径: php\php-5.2.17\ext\php_xmlrpc.dll php\php-5.4.45\ext\php_xmlrpc.dll (2)phpStudy20
python phpstudy_phpStudy后门分析及复现
weixin_39604092的博客
12-10 279
参考文章:https://blog.youkuaiyun.com/qq_38484285/article/details/101381883感谢大佬分享!!SSRF漏洞学习终于告一段落,很早就知道phpstudy爆出来有后门,爆出漏洞的过程好像还挺奇葩的,时间也不算很充裕,今天简单学习下。影响版本目前已知受影响的phpStudy版本phpstudy 2016版php-5.4phpstudy 2018版php-...
PHPStudy后门版:后门测试工具
与标准版的phpstudy软件相比,后门版是经过恶意修改的版本,含有未授权的后门程序,这些后门程序允许攻击者在不知情的用户系统中植入恶意代码,以此获得远程控制权限或者进行其他恶意活动。因此,此类软件包不应在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值