phpstudy后门

最新推荐文章于 2024-01-19 10:11:21 发布
最新推荐文章于 2024-01-19 10:11:21 发布
阅读量1.6k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 渗透测试 漏洞 文章标签: web安全 渗透测试 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/song123sh/article/details/124229861
PhpStudy是一款广泛使用的PHP调试环境集成包,但2018年曝出存在后门问题,涉及php_xmlrpc.dll文件。后门可能导致远程控制及敏感信息泄露。检测后门的方法包括检查php_xmlrpc.dll文件内容和配置文件,以及利用burp进行payload构造。为保障系统安全,用户应及时更新和检查PHP环境。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

phpstudy后门

一、漏洞描述

Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer

多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。

正是这样一款公益性软件,2018年12月4日,西湖区公安分局网警大队接报案称,某公司发现公司内有20余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据 回传大量敏感信

二、后门文件路径

phpStudy2016

php\php-5.2.17\ext\php_xmlrpc.dll

php\php-5.4.45\ext\php_xmlrpc.dll

phpStudy2018

PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll

PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

三、后门检测

我们只需要以文本打开该文件,搜索@eval这个代码,如果搜索出@eval(%s(‘%s’),则代表后门存在。

image-20220401182542304

检查是否引用了php_xmlrpc.dll文件(只要引用了该文件,恶意代码就可以触发)

通过php探针查看

通过php.ini配置文件查看

image-20220401183250613

四、后门利用

burp抓包,构造payload

image-20220401211653162

Accept-Encoding要把gzip, deflate里逗号后面的空格去掉,不然命令执行不成功

Accept-Charset 的值就是执行的命令, 需要进行base64编码

这里执行的是system('ipconfig');

phpstudy后门简单分析
fa1lr4in的小博客
09-25 1806
感谢pcat师傅的文章:https://mp.weixin.qq.com/s/dIDfgFxHlqenKRUSW7Oqkw 20号得知phphstudy有后门,不知道官网的是不是也被入侵了,当时没有进行查看,,,由于当时正在秋招面试比较忙,鸽了几天有了下文: 被中马的为php_xmlrpc.dll这个dll文件,这个可以通过查找泄露字符串很容易通过脚本实现,就不贴了,可以以eval为关键...
PhpStudy后门漏洞实战复现
la-大白
10-28 5050
phpstudy后门漏洞
那些强悍的PHP一句话后门
weixin_30338461的博客
05-11 2042
这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。 利用404页面隐藏PHP小马: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"><html><head><title>404 ...
phpstudy后门(转自feng)
qq_45290991的博客
10-07 2088
几天前火绒说我的PHPstudy有马,我以为是误报没有在意,但接着我就在知乎上看到了PHPstudy真可能有后门,于是赶紧看了一下,还真有,是我之前下的2016版的,而我在官网下的2019的phpstudy_pro没有问题(文末给出了有后门(!!!)的安装包) 可以看到php-5....
php study 后门,phpStudy后门简要分析
weixin_31727937的博客
03-10 258
问题概要有问题的版本如下phpStudy20180211版本php5.4.45php5.2.17ext扩展文件夹下的php_xmlrpc.dllphpStudy20161103版本php5.4.45php5.2.17ext扩展文件夹下的php_xmlrpc.dll注:这两个官网下载的版本里,都没有发现php5.3版本下存在有问题的php_xmlrpc.dll,打开时会提示存在pdb路径...
php study 后门,phpstudy真的有后门吗?是的!附后门查询及解决办法-Go语言中文社区...
weixin_31600439的博客
03-10 318
网上看到phpstudy后门,简单探索复现了下,果然,不知不觉已经沦为肉鸡中的一员....目前测试发现phpStudy2016和phpStudy2018版本存在后门.简单记录下过程:环境配置phpstudy 2018php 5.4.45配置文件php.iniextension=php_xmlrpc.dll //该扩展默认开启漏洞验证漏洞定位/phpStudy2018/PHPTutorial...
PhpStudy后门供应链攻击文档
09-23
PhpStudy后门供应链攻击文档】详细解析 PhpStudy是一款在国内广泛使用的PHP开发与调试环境,因其集成多种软件如Apache、PHP、MySQL等而受到PHP初学者和开发者的青睐。然而,2019年9月,杭州公安揭露了一起重大...
网络安全_渗透测试_漏洞检测_PHPStudy后门批量扫描工具_用于自动化检测PHPStudy软件中存在的后门漏洞_支持多线程并发扫描_可导入URL列表进行批量检测_适用于安全研究.zip
最新发布
05-25
网络安全_渗透测试_漏洞检测_PHPStudy后门批量扫描工具_用于自动化检测PHPStudy软件中存在的后门漏洞_支持多线程并发扫描_可导入URL列表进行批量检测_适用于安全研究
PHPStudy-BackDoor-EXP PHPstudy后门利用脚本
01-22
标题 "PHPStudy-BackDoor-EXP PHPstudy后门利用脚本" 涉及到的是一个针对PHPStudy软件的安全问题,即PHPStudy后门利用。PHPStudy是一款集成环境的工具,广泛用于PHP开发者的本地开发环境搭建。然而,如同任何其他...
PHPStudy-BackDoor-EXP PHPstudy后门利用脚本 .zip
01-22
压缩包内的文件名“PHPStudy_BackDoor_EXP PHPstudy后门利用脚本 (2).zip”表明这可能是一个关于如何检测、分析或利用PHPStudy后门的工具或教程。这可能包括脚本代码,用于模拟攻击,以便测试系统的防护措施,或者是...
phpStudy 后门.rar
09-24
phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等。
phpstudy后门利用
weixin_42140534的博客
03-25 901
0x01 漏洞简介 phpstudy是一个对初学php的人们很有帮助的工具,他集成的环境可以给初学者带来很多便捷之处,但是某些版本存在后门,如果服务器使用存在后门phpstudy搭建,这样可以直接被人家getshell 0x02 影响版本 phpstudy 2016版php-5.4 phpstudy 2018版php-5.2.17 phpstudy 2018版php-5.4.45 0x03 ...
网站被攻击怎么处理 phpstudy存在后门漏洞
网站安全专家
09-27 3721
phpStudy于近日被暴露出有后门漏洞,之前的phpStudy2016,phpStudy2018部分版本,EXE程序包疑似被入侵者植入木马后门,导致许多网站及服务器被攻击,被篡改,目前我们SINE安全公司立即成立phpStudy安全应急响应小组,针对部分客户服务器上安装该PHP一键环境搭建的情况,进行了全面的漏洞修复与安全防护。第一时间保障客户的网站安全,以及服务器的安全稳定运行。关于该漏洞的详...
Phpstudy隐藏后门
热门推荐
Sylon的博客
09-24 3万+
Phpstudy隐藏后门 1.事件背景 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户 9月20日杭州公安微信公众账号发布了“杭州警方通报打击涉网违法犯...
phpstudy后门-插件、环境、复现
MzHeader的博客
10-24 1617
1.1 后门检测 影响: phpstudy 2016 php5.4 phpstudy2018 php-5.2.17和php-5.4.45 位置: 通过分析,后门代码存在于\ext\php_xmlrpc.dll模块中 phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45 phpStudy2016路径 php\php-5.2.17\ext\php_xmlr...
【漏洞复现】之PhpStudy后门”利用复现、修复及使用脚本快速复现(最全,转自https://www.cnblogs.com/yankaohaitaiwei/p/11604762.html)
qq_45290991的博客
10-07 1405
【漏洞复现】之PhpStudy后门”利用复现、修复及使用脚本快速复现 (本文仅为平时学习记录,若有错误请大佬指出,如果本文能帮到你那我也是很开心啦)   该复现参考网络中的文章,该漏洞复现仅仅是为了学习交流,严禁非法使用!!!    一、事件背景   北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后...
phpStudy后门利用复现
qq_17754023的博客
12-01 604
1.phpstudy介绍 Phpstudy是国内的一款免费的PHP调试环境的程序集成包,其通过集成Apache、PHP、MySQL、phpMyAdmin不同版本软件于一身,一次性安装无需配置即可直接使用,具有PHP环境调试和PHP开发功能。 2.后门事件 2018年12月4日,西湖区公安分局网警大队接报案,某公司发现公司内有20余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据回传大量敏感信息。通过专业技术溯源进行分析,查明了数据回传的信息种类、原理方法、存储位置,并聘请了第三
【研究】PHPstudy后门利用
god_Zeo的安全博客
09-29 1653
【研究】PHPstudy后门利用1.环境2.原理3.影响版本4.后门检测5.漏洞利用 1.环境 测试的是这两个版本 phpStudy_2016.11.03 后门PhpStudy20180211 后门PhpStudy软件对于国内众多开发者而言,并不陌生。它是一款免费的PHP调试环境的程序集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimi...
记一次phpstudy后门引发的渗透测试
wuli1024的博客
01-19 1431
前段时间 phpstudy 被爆出存在后门,想到学校里的许多站都是用 phpstudy 做的环境,于是写了个脚本扫描了下,发现真的有中招的。
PHPStudy后门版:后门测试工具
phpstudy后门版的使用须在严格遵守法律法规的前提下进行,并确保只在合法的范围内进行研究和学习。 在进行后门测试时,安全研究人员可能会使用phpstudy后门版来模拟攻击者的入侵手段,通过该软件包内含的后门进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shadow丶S

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值