【漏洞复现】之PhpStudy“后门”利用复现、修复及使用脚本快速复现（最全，转自https://www.cnblogs.com/yankaohaitaiwei/p/11604762.html）

最新推荐文章于 2025-03-06 23:26:09 发布

热热的雨夜

最新推荐文章于 2025-03-06 23:26:09 发布

阅读量1.3k

点赞数

分类专栏： WEB渗透学习文章标签： https php

原文链接：https://www.cnblogs.com/yankaohaitaiwei/p/11604762.html

版权

WEB渗透学习专栏收录该内容

52 篇文章

订阅专栏

【漏洞复现】之PhpStudy“后门”利用复现、修复及使用脚本快速复现

（本文仅为平时学习记录，若有错误请大佬指出，如果本文能帮到你那我也是很开心啦）

该复现参考网络中的文章，该漏洞复现仅仅是为了学习交流，严禁非法使用！！！

一、事件背景

　　北京时间9月20日，杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文，文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发，近百万PHP用户中超过67万用户已被黑客控制，并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达10万多组，非法牟利600多万元。

漏洞：程序包自带的PHP的php_xmlrpc.dll模块中有隐藏后门
php.ini中必须要引用该模块，这样才能去复现该漏洞，若开启了xmlrpc功能，php就会加载这个php_xmlrpc.dll动态链接库文件，其中的恶意代码就会被触发
- 查看是否引用该模块：
  - 方法1：通过php.ini配置文件查看，位置D:\phpStudy\PHPTutorial\php\php-5.4.45\ext

- - 方法2：通过phpinfo查看

影响版本：phpstudy 2016（php5.4/5.2） phpstudy 2018（php5.4/5.2）

二、PhpStudy“后门”利用复现

攻击者：Windows 10系统

靶机：Windows 7虚拟机

1.查看攻击者与靶机的连通性

2.在靶机中下载带有后门的PhpStudy 2018软件，打开PhpStudy软件，在D:\phpStudy\PHPTutorial\php\php-5.4.45\ext

目录中使用记事本打开php_xmlrpc.dll，搜索eval关键词，查看植入的后门

3.打开PhpStudy 2018，切换到有后门的版本，并启动Apache和MySQL服务，攻击者在浏览器中访问靶机的IP，查看是否能启动WEB服务器

4.开启代理服务器，使用BP拦截浏览器的请求包，将拦截下来的数据发送到到Repeater模块（重发），使用Ctrl+R或者点击Action --> Send to Repater

5.修改请求包，将Accept-Encding（浏览器可解析的编码方式）:gzip,deflate逗号后面的空格删除，然后在deflate后面增加一个空格

6.再添加一项：Accept-Charset（规定服务器处理表单数据所接受的字符集）:，后跟要执行的命令，即恶意代码，最后提交该请求包，查看响应包

恶意代码需要经过Base64转码，可以使用以下方法：
- 在火狐浏览器中：

- 在BP工具中，打开Decoder（解码和编码）模块：
  - 注：代码后面一定要加；！！！如：system(‘ipconfig’);

下图可以看到，在响应包中我们可以看到我们想要的信息，复现成功

仅仅上面几个操作就可以获取到想要的信息，由此可见，重视网络信息安全是多么的重要，所以榴莲酱在这里建议大家：

1.不要随意下载，接收和运行不明来源的文件，尽量到官网下载软件

2.密码和用户名最好不要使用同一个

三、修复方法

1.在官网中下载最新的PhpStudy

2.将PhpStudy中php5.4和php5.2里面的php_xmlrpc.dll替换为官方的文件

3.使用phpstudy安全自检修复程序2.0

这里显示环境已正常，就说明已经修复成功了，再次查看php_xmlrpc.dll文件，发现已经没有后门了

四、使用脚本快速复现

（这里需要提前在靶机中安装Python3，请参考https://blog.youkuaiyun.com/qq_35844043/article/details/81437047，十分详细感谢！！！）

1.在GitHub中找到PHPStudy_BackDoor_Exp，点击Clone or download，复制其中的链接

2.在想要安装PHPStudy_BackDoor_Exp路径目录的空白处右键使用Git下载该脚本

Git软件需要提前下载好:)

git clone https://github.com/cream492/PHPStudy_BackDoor_Exp.git  下载脚本

3.把下载好的PHPStudy_BackDoor_Exp文件夹拷贝到靶机中，并在PHPStudy_BackDoor_Exp文件夹中开启dos命令窗口

python phpstudy_backdoor.py  运行脚本

命令执行出现错误，显示没有request模块
解决方法：

pip3 install requests  下载requests模块

再次运行脚本，开启脚本成功

4.根据提示，输入目标主机（即出现漏洞的PhpStudy中web服务器地址），以及要执行的命令

需要开启PhpStudy中的Apache和MySQL服务

根据上图的提示所示，如果要执行os命令，命令必须是php函数，使用system('');格式

分类: 【漏洞复现】

<div id="blog_post_info">

好文要顶关注我收藏该文

Woori
关注 - 7
粉丝 - 16

+加关注

<div class="clear"></div>
<div id="post_next_prev">

<a href="https://www.cnblogs.com/yankaohaitaiwei/p/11593970.html" class="p_n_p_prefix">« </a> 上一篇：    <a href="https://www.cnblogs.com/yankaohaitaiwei/p/11593970.html" title="发布于 2019-09-26 19:55">【渗透测试小白系列】之目录扫描、Nmap的使用及使用Metasploit通过MS17-010获取系统权限</a>
<br>
<a href="https://www.cnblogs.com/yankaohaitaiwei/p/11626298.html" class="p_n_p_prefix">» </a> 下一篇：    <a href="https://www.cnblogs.com/yankaohaitaiwei/p/11626298.html" title="发布于 2019-10-06 23:11">【渗透测试小白系列】之简单使用远端控制</a>

posted on 2019-10-06 01:46 Woori 阅读( 1342) 评论( 0) 编辑收藏举报

刷新评论刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页