PhpStudy-PHP5.4.45后门漏洞应用程序(C++/base64/winhttp)

于 2024-10-04 13:26:15 发布
阅读量413 收藏 8
点赞数 5
分类专栏: 网络渗透 MFC界面应用 文章标签: c++ mfc 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44870829/article/details/142700803
版权

PhpStudy-PHP5.4.45后门漏洞应用程序(C++/base64/winhttp)

前言

  翻到了多年前写的一篇文章,那时我成功渗透了一台钓鱼网站,想着要不凭此进入网络安全领域吧,奈何当时关于白帽子的“渗透测试”行为有很多争议,即未经授权的渗透测试就是犯罪,有些免费帮企业找漏洞的白帽子被抓了,要想在这一行有所精进就必须经过大量的实战,而像我这种技术水平不高的“初学者”最容易落下把柄了,哈哈最后经过深思熟虑还是脱离这一领域回归老本行了。

引言(时间回到多年前)

  首先声明一下我是个初学者。
  事情的起因是这样的,在假期的时候,有个学校qq群里,有人发了个链接,说是学校要求必须打开,我瞬间感到了不对劲。
  因为我在小白的时候,也是有个群,有人在里面发了个链接说是校领导要求的有任务,当时太年轻,我打开了链接,是个QQ登录界面,也没多想,就登了进去。而且还问同学看没看到,同学也登了,结果里面什么也没有,是个空界面。心想会不会是因为网站有啥问题所以登不上去,唉,还是太年轻。到了中午发现同学的账号被盗了之后才明白这是个钓鱼网站。从那时起我就发奋学习有关网络渗透的一些知识,当然那时离现在也就不到两年的时间,当时也是没有太多时间来学习渗透,只是渐渐的对这一方面有了些了解,在网上找了一些大佬的教学视频进行了自学。到现在算是入了门吧,不再是小白一个了。
  回到开始,这个链接看域名信息很明显是个假域名,冒充腾讯的域名,并且qq登录界面太假,连个忘记密码都没有,只有两个输入框。
  我立马通过https://www.shodan.io对其进行了扫描,发现其ip是香港的,对其进行了大量的扫描都没有发现一些很明显的漏洞,可能我太菜了,毕竟我也是刚入门的小白,不过我在扫描过程中发现它是windows电脑,使用的PHP是5.4.45版本的,联想到之前好像有个关于这个漏洞,我上网查了一下,找到了它是PHPstudy的一个后门漏洞,在网上有关于此漏洞的详细介绍及利用。

https://www.cnblogs.com/0daybug/p/11647075.html
这是PHP5.4.45漏洞后门的复现
https://blog.csdn.net/qq_45521281/article/details/105926151
上方为更加详细的介绍

这个网站只是可能存在这个漏洞,我们还是需要试验一下的,根据上面链接的解释成功了。

下面是后门影响的版本:
phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45
phpStudy2016路径
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路径
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl

  这下我就发现这个后门直接是管理员的账号,自己接着创了个新账号,远程连接了一下,成功进入对方后台。具体攻击细节就不展示了。
  根据连接,需要进行抓包,还要base64编码cmd命令,每次都得这样太麻烦,当然上面给出了一个用python编写的poc,如果电脑没有python的话还得下,而且我觉得使用这个不太方便。
  正好最近在学习mfc,我就在想能不能使用mfc做一个专门针对此漏洞的简易的渗透工具。于是我用了差不多一个星期的时间做出了这个程序。先在本地搭建了一个有此漏洞的PHPstudy,进行工具测试。

PhpShellCmd.exe

使用介绍:

(1)输入网址检测是否存在PHP/5.4.45

  在地址栏输入网站地址,这里是本地搭建的地址,点击检测,可以看到响应头,在这里的server中有win32和PHP/5.4.45说明使用的windows电脑,可能用的PHPstudy搭建的,版本又是PHP/5.4.45很有可能存在PHPstudy后门漏洞。
在这里插入图片描述

(2)whoami

  当地址栏有地址后,在cmd栏输入cmd命令就能返回对方电脑的一些结果如下,先查看本地账号是什么。在cmd输入whoami,点击攻击,就返回对方电脑账号了。在第一行所示,因为本地搭建,我将账号遮掩了一下。
在这里插入图片描述

(3)net user查看账户

  如果是管理员账号,我们就可以进行net user admin 123 add/等进行添加账号操作,进行远程连接了。
下面我们可以查看本地用户有哪些,如下
在这里插入图片描述

调用库

实际上是使用C++实现的,攻击原理和python是一样的,这里用C++将其实现了

使用VS2013进行的
调用的库有base64 winhttp组件

下方引入的库主要是用于base64的类的编码的实现

实际的发送数据包等是通过winhttp组件进行的,可以更改数据包中的各个数据
在这里插入图片描述

注意这里的base64是使用程序直接编写的,直接引入的类如下,相关文件
在这里插入图片描述

资源链接(含源码)

https://github.com/zhaocaijinbao-max/PhpStudyShell
release下的exe可以直接下载使用
在这里插入图片描述

吾名招财
关注
专栏目录
phpStudy backdoor 2019后门漏洞复现过程记录
牛奶栗的小博客
11-11 918
1)可以通过查看路径为PHPTutorial/php/php-5.4.45/ext/php_xmlrpc.dll的文件,查找到@eval(%s('%s'));4、打开Burpsuite抓phpinfo.php页面的请求包,发送到Repeater重放器模块。部署在win10虚拟机里,解压后运行后访问localhost/phpinfo.php即成功安装。3)查看php.ini文件,检索到extension=php_xmlrpc.dll。2)查看php探针→PHP已编译模块检测,存在xmlrpc。
PhpStudy后门漏洞实战复现
la-大白
10-28 4892
phpstudy后门漏洞
phpstudy2016 PHP-5.4.45存在隐藏后门文件以及apache弹出php startup的经历
Munich_sky的博客
10-12 2072
某一天同事反馈,网站首页导航菜单链接到一家非法网站,没啥经验,瞬间蒙了,我是搞java的,之前一个同事弄了一套phpstudy集成环境,上面部署了网站。就去看首页html源代码,发现首页源代码被别人修改了,从本地又拷贝一份放到服务器上。Windows Server 2008 R2 企业版服务器,上面安装的有360安全卫士,查杀木马,发现以下提示, 简单看下,直接清理掉了,算是结束了。 一会...
PhpStudy后门漏洞
chaojixiaojingang
09-08 4808
1.影响版本 phpstudy 2016版php-5.2.17 phpstudy 2016版php-5.4.45 phpstudy 2018版php-5.2.17 phpstudy 2018版php-5.4.45 2.后门检测分析 1)通过分析,后门代码存在于\ext\php_xmlrpc.dll模块中 (1)phpStudy2016路径: php\php-5.2.17\ext\php_xmlrpc.dll php\php-5.4.45\ext\php_xmlrpc.dll (2)phpStudy20
Phpstudy后门漏洞复现
qq_56426046的博客
09-10 2419
2019年9月20日,网上传出phpStudy软件存在后门,随后作者立即发布声明进行澄清,其真实情况是该软件官网于2016年被非法入侵,程序包自带PHPphp_xmlrpc.dll模块被植入隐藏后门,经过分析除了有反向连接木马之外,还可以正向执行任意php代码。
PHP常见后门修复,phpStudy后门RCE,复现/批量脚本/修复
weixin_33416318的博客
03-10 632
phpStudy后门介绍phpStudy是国内一款免费的PHP环境集成包,集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer等多款软件,无需配置即可直接安装使用,有着近百万PHP用户。近日被爆出phpStudy存在RCE后门,并通过验证复现。软件作者声明:phpstudy 2016版PHP5.4存在后门。实际测试官网下载phpstudy2018版php-5.2....
phpStudy后门漏洞复现
LuckySec
08-20 6091
0x01 漏洞简介 2019年9月20日,网上传出 phpStudy 软件存在后门,随后作者立即发布声明进行澄清,其真实情况是该软件官网于2016年被非法入侵,程序包自带PHPphp_xmlrpc.dll模块被植入隐藏后门,经过分析除了有反向连接木马之外,还可以正向执行任意php代码。 影响版本: phpStudy2016-php-5.2.17 phpStudy2016-php-5.4.45 phpStudy2018-php-5.2.17 phpStudy2018-php-5.4.45 更多漏洞细节
PhpStudy2016-2018-RCE 漏洞复现
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-14 1404
Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin等多款软件一次性安装,无需配置即可直接安装使用,一键搭建。这是常用来写webshell的一句话,请注意使用这样的代码是非常危险的,因为它允许任意的命令执行和操纵服务器文件系统。需要注意的是,该漏洞只影响使用了特定版本的PHPStudy软件的系统,具体来说是2018年1月至2019年5月发布的版本。通过利用该漏洞,攻击者可以执行任意的PHP代码,从而完全控制受影响的系统。
phpstudy mysql 漏洞_phpstudy后门漏洞
weixin_30998797的博客
02-28 420
phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。但是存在后门漏洞,可直接getshell。漏洞存在版本:phpStudy2016php\php-5.2.17\ext...
phpstudy_2016-2018_rce漏洞复现
m0_64583632的博客
11-10 921
phpstudy2016、phpstudy2018rce漏洞复现
php-5.4.45-nts.zip(phpstudy 2016+ZendLoader)
07-28
PHPStudy 2016与ZendLoader:深入理解PHP 5.4.45无线程版本》 PHPStudy 2016是一款广泛使用的PHP集成开发环境,它为开发者提供了一站式的PHP开发解决方案,包括服务器环境配置、数据库管理、PHP版本切换等功能。...
PHPStudy-BackDoor-EXP PHPstudy后门利用脚本
01-22
标题 "PHPStudy-BackDoor-EXP PHPstudy后门利用脚本" 涉及到的是一个针对PHPStudy软件的安全问题,即PHPStudy后门利用。PHPStudy是一款集成环境的工具,广泛用于PHP开发者的本地开发环境搭建。然而,如同任何其他...
PHPStudy-BackDoor-EXP PHPstudy后门利用脚本.zip
01-22
标题 "PHPStudy-BackDoor-EXP PHPstudy后门利用脚本.zip" 提示我们关注的是一个与PHPStudy相关的安全问题,具体来说是一个后门利用脚本。PHPStudy是一款广泛使用的PHP开发环境集成软件,它包括PHP、Apache、MySQL等...
PHPStudy-BackDoor-EXP PHPstudy后门利用脚本 .zip
01-22
PHPStudy-BackDoor-EXP PHPstudy后门利用脚本 .zip】是一个关于网络安全PHP开发的专题,其中涉及到PHPStudy这个流行的PHP开发环境以及它可能存在的安全问题。PHPStudy是一个集成了Apache、Nginx、PHP、MySQL等...
PHPStudy-BackDoor-EXP PHPstudy后门利用脚本 (4)
02-23
PHPStudy_BackDoor_EXP PHPstudy后门利用脚本
ubuntu22上C/C++程序使用weston+wayland+OpenGLES渲染
Flying_Motor的博客
09-27 477
一,安装依赖软件:sudo apt install zlib1g-dev libssl-dev libgles2-mesa-dev libsystemd-dev libpng-dev libglib2.0-dev libwayland-dev weston libweston-9-dev。
C语言中的日志机制:打造全面强大的日志系统
极客代码
09-30 406
构建一个全面强大的日志机制对于软件开发至关重要。通过上述示例,你应该已经了解了如何在C语言中实现日志记录的不同方面。这种能力对于调试程序、监控应用程序状态和维护系统的稳定性非常有帮助。在软件开发中,良好的日志记录机制对于调试、监控程序状态和维护系统的稳定性至关重要。本文将介绍如何在C语言中构建一个全面强大的日志系统,并提供一些示例代码。实现日志文件的自动旋转,以便管理日志文件的大小。定义日志级别的宏,便于管理和调整日志输出。使用定义好的日志宏来记录日志。实现日志配置的读取和设置。1. 日志的基本概念。
stm32f103调试,程序与定时器同步设置
最新发布
m0_74644005的博客
10-03 249
在调试定时器相关代码时,注意到定时器的中断位总是置1,怀疑代码有问题,经过增大定时器的中断时间,发现定时器与代码调试并不同步,这一点对于调试涉及定时器的代码是非常不利的,这里给出keil调试stm32使定时器与代码同步的设置方法。点击下面的use custom SVD file ,然后点击文件选择,粘贴路径进入,选择调试的芯片,这里使用的使stm32f103,所以选择STM32F103xx.SFR,保存后重启keil,
AI驱动TDSQL-C Serverless数据库技术实战营--- 操作与电商可视分析
chasemydreamidea的博客
09-27 750
本文将基于腾讯云的高性能应用服务HAI和TDSQL-C MYSQL Serverless版构建AI电商数据分析系统。HAI作为一个面向AI和科学计算的GPU应用服务产品,它具有强大的计算能力,让复杂的AI模型的快速部署和运行的可行性加大,进而支持自然语言处理和图形生成等高级任务。TDSQL-C MYSQL版是一款云原生关系型数据库,其100%的MySQL兼容性,以及极致的弹性、高性能和高可用性,是电商业务中处理海量数据存储和查询的理想选择。本文实践除了使用TDSQL-C MYSQL外,通过python语言和
phpstudy2016 php-5.4.45
04-11
问题:什么是'phpstudy2016 php-5.4.45'? 回答:'phpstudy2016 php-5.4.45' 是一个开发环境,其中包含了 PHP 版本为 5.4.45。它可以用于开发和测试 PHP 应用程序
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吾名招财

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值