phpstudy后门简单分析

最新推荐文章于 2024-07-31 10:58:10 发布
最新推荐文章于 2024-07-31 10:58:10 发布
阅读量1.7k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fallfeather/article/details/101363922
版权
本文主要分析了PHPStudy的后门问题,通过检查php_xmlrpc.dll文件,发现存在恶意代码,涉及eval和gzuncompress函数,可能导致远程代码执行。文章提到了受影响的PHP版本,并提供了漏洞验证的相关IOC,包括IP、域名和MD5值。
摘要由CSDN通过智能技术生成

感谢pcat师傅的文章:https://mp.weixin.qq.com/s/dIDfgFxHlqenKRUSW7Oqkw

 

20号得知phphstudy有后门,不知道官网的是不是也被入侵了,当时没有进行查看,,,由于当时正在秋招面试比较忙,鸽了几天有了下文:

被中马的为php_xmlrpc.dll这个dll文件,这个可以通过查找泄露字符串很容易通过脚本实现,就不贴了,可以以eval为关键字来进行搜索

实际测试官网下载phpstudy2018php-5.2.17php-5.4.45存在后门

上图为IDA

最低0.47元/天 解锁文章
fa1lr4in
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
你仿佛是一只肉鸡,67万PhpStudy开发者电脑沦为“肉鸡”!
马句
09-25 682
北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发,近百万PHP用户中超过67万用户已被黑客控制,并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达10万多组,非法牟利600多万元。 面对如此性质恶劣的网络攻击事件,360安全大脑已国内首家完成...
内网权限维持 —— 后门
战神/calmness的博客
12-09 1162
目录 操作系统后门 粘滞键 注册表注入 计划任务 meterpreter Cymothoa WMI型 web 后门 Nishang 下的webshell weevely webacoo ASPX meterpreter PHP meterpreter 域控制器权限持久化 DSRM 域后门 SSP 维持域控权限 SID History 域后门 Golden Ticket Silver Ticket Skeleton Key Hook PasswordChangeNot
PhpStudy后门漏洞实战复现
la-大白
10-28 4873
phpstudy后门漏洞
phpstudy后门
一个普普通通的博客
04-17 1511
phpstudy后门 一、漏洞描述 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer 多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。 正是这样一款公益性软件,2018年12月4日,西湖区公安分局网警大队接报案称,某公司发现公司内有20余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据 回传大量敏感信 二、后门
phpstudy_2016-2018_rce_backdoor漏洞复现
weixin_46365325的博客
07-31 599
PHP study 软件是国内的一款免费的 PHP 调试环境的程序集成包,通过集成 Apache、PHP、Mysql、PhpMyAdmin 等多款软件一次性安装,无需配置即可直接安装使用,一键搭建。攻击者可以利用该漏洞执行 PHP 命令,也可以称作 phpstudy 后门。模块中,至少有2个版本:phpStudy2016 和 phpstudy 2018自带的php-5.2.17、php-5.4.45。使用bp编码后进行上传,在网页查看是否上传成功,使用蚁剑进行连接。更改 bp 字体为楷体24pt。
phpstudy后门(转自feng)
qq_45290991的博客
10-07 1909
几天前火绒说我的PHPstudy有马,我以为是误报没有在意,但接着我就在知乎上看到了PHPstudy真可能有后门,于是赶紧看了一下,还真有,是我之前下的2016版的,而我在官网下的2019的phpstudy_pro没有问题(文末给出了有后门(!!!)的安装包) 可以看到php-5....
phpstudy后门利用
weixin_42140534的博客
03-25 858
0x01 漏洞简介 phpstudy是一个对初学php的人们很有帮助的工具,他集成的环境可以给初学者带来很多便捷之处,但是某些版本存在后门,如果服务器使用存在后门phpstudy搭建,这样可以直接被人家getshell 0x02 影响版本 phpstudy 2016版php-5.4 phpstudy 2018版php-5.2.17 phpstudy 2018版php-5.4.45 0x03 ...
网站被攻击怎么处理 phpstudy存在后门漏洞
网站安全专家
09-27 3592
phpStudy于近日被暴露出有后门漏洞,之前的phpStudy2016,phpStudy2018部分版本,EXE程序包疑似被入侵者植入木马后门,导致许多网站及服务器被攻击,被篡改,目前我们SINE安全公司立即成立phpStudy安全应急响应小组,针对部分客户服务器上安装该PHP一键环境搭建的情况,进行了全面的漏洞修复与安全防护。第一时间保障客户的网站安全,以及服务器的安全稳定运行。关于该漏洞的详...
全国中职网络安全B模块之国赛题远程代码执行渗透测试 PHPstudy后门漏洞分析
web13618542420的博客
07-31 646
需要工具和环境的可以加群809706080,有什么不会的也可以在里面提问,我看到会第一时间回答。
CTF——流量分析题型整理总结
热门推荐
小锤队长的博客
12-19 4万+
我见过的流量分析类型的题目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例题: 一,ping 报文信息 (icm...
phpStudy 后门版.rar
09-24
phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等。
phpStudy_2016.11.03后门版.zip
09-29
phpStudy_2016.11.03后门版.zip
php study 后门,phpstudy真的有后门吗?是的!附后门查询及解决办法-Go语言中文社区...
weixin_31600439的博客
03-10 277
网上看到phpstudy后门简单探索复现了下,果然,不知不觉已经沦为肉鸡中的一员....目前测试发现phpStudy2016和phpStudy2018版本存在后门.简单记录下过程:环境配置phpstudy 2018php 5.4.45配置文件php.iniextension=php_xmlrpc.dll //该扩展默认开启漏洞验证漏洞定位/phpStudy2018/PHPTutorial...
php study 后门,phpStudy后门简要分析
weixin_31727937的博客
03-10 192
问题概要有问题的版本如下phpStudy20180211版本php5.4.45与php5.2.17ext扩展文件夹下的php_xmlrpc.dllphpStudy20161103版本php5.4.45与php5.2.17ext扩展文件夹下的php_xmlrpc.dll注:这两个官网下载的版本里,都没有发现php5.3版本下存在有问题的php_xmlrpc.dll,打开时会提示存在pdb路径...
phpstudy后门getshell
10-14 3576
昨天在测试时候监听着我自己服务器的80端口,突然有个请求过来了。。一看ip,和我在同一个公网网段。可能是有人在扫我吧。 在浏览器里直接访问他的ip,发现80端口上搭了一个php服务。直接访问是一个phpstudy的探针。 看到phpstudy,忽然想起前些天的phpstudy后门。在网上查了一下, 我看的是这篇文章: https://www.cnblogs.com/-qing-/...
phpstudy后门POC分析和EXP开发
qq_35664104的博客
01-24 2510
POC 2019年9月20日,网上传出 phpStudy 软件存在后门,随后作者立即发布声明进行澄清,其真实情况是该软件官网于2016年被非法入侵,程序包自带PHP的php_xmlrpc.dll模块被植入隐藏后门,可以正向执行任意php代码。 影响版本: phpStudy2016-php-5.2.17 phpStudy2016-php-5.4.45 phpStudy2018-php-5.2.17 phpStudy2018-php-5.4.45 后门存在于*\ext\php_xmlrpc.dll,用记
PhpStudy后门漏洞
chaojixiaojingang
09-08 4752
1.影响版本 phpstudy 2016版php-5.2.17 phpstudy 2016版php-5.4.45 phpstudy 2018版php-5.2.17 phpstudy 2018版php-5.4.45 2.后门检测分析 1)通过分析后门代码存在于\ext\php_xmlrpc.dll模块中 (1)phpStudy2016路径: php\php-5.2.17\ext\php_xmlrpc.dll php\php-5.4.45\ext\php_xmlrpc.dll (2)phpStudy20
python phpstudy_phpStudy后门分析及复现
weixin_39604092的博客
12-10 223
参考文章:https://blog.csdn.net/qq_38484285/article/details/101381883感谢大佬分享!!SSRF漏洞学习终于告一段落,很早就知道phpstudy爆出来有后门,爆出漏洞的过程好像还挺奇葩的,时间也不算很充裕,今天简单学习下。影响版本目前已知受影响的phpStudy版本phpstudy 2016版php-5.4phpstudy 2018版php-...
利用phpstudy 后门
最新发布
08-30
对不起,我无法提供关于利用PHPStudy后门的信息,因为这涉及到非法和安全性的问题。PHPStudy是一个集成环境,用于简化PHP应用的开发,它本身并不包含后门功能。保持软件的安全性和合规性是非常重要的。如果您有关于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值