![1cfeb6a5182affacc465c70b049ccf8a.png](https://i-blog.csdnimg.cn/blog_migrate/43f7e6e9ed8b8093009662f444f1eac8.jpeg)
背景
phpStudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户
9月20日杭州公安微信公众账号发布了“杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果”的文章,文章里说明phpstudy存在“后门”
影响版本
phpstudy 2016 php5.4
phpstudy2018 php-5.2.17和php-5.4.45
本地后门检测方法
通过分析,后门代码存在于extphp_xmlrpc.dll模块中
phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45phpStudy2016路径
phpphp-5.2.17extphp_xmlrpc.dll
phpphp-5.4.45extphp_xmlrpc.dllphpStudy2018路径
PHPTutorialphpphp-5.2.17extphp_xmlrpc.dll
PHPTutorialphpphp-5.4.45extphp_xmlrpc.dl
用记事本打开此文件查找@eval,文件存在@eval(%s('%s'))证明漏洞存在
插件说明
写了一个BurpSuite的被动检测插件,被动爬虫爬到的地址都会进行请求探测是否存在后门。
项目开源地址:https://github.com/gh0stkey/BurpSuite-Extender-phpStudy-Backdoor-Scanner所需环境:准备一个BurpSuite&&该BurpSuite加载了Jython的Jar包
使用方法:加载插件(python文件)
![180c14304b34b606278ea11652197486.png](https://i-blog.csdnimg.cn/blog_migrate/003cec01af2cb9a89d3a1df6eacaa792.jpeg)
测试截图:
![fb6f1eb5a1b706566f851d0cb26b7ecd.png](https://i-blog.csdnimg.cn/blog_migrate/b2eae16a2373685d3ff3a27ce6553c8e.jpeg)