前言:
北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发,近百万PHP用户中超过67万用户已被黑客控制,并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达10万多组,非法牟利600多万元。
注:本文仅供学习参考,下文中提到的漏洞利用方法不得在真实网络中使用,请遵守网路安全法。
1、后门检测
现已发现PHPstudy2016、PHPstudy2018中的5.2.17、5.4.45存在后门,正好笔者的电脑安装了2016版本。
在如下目录中的php_xmlrpc.dll文件中
查找发现了@eval(%s('%s'));这就说明存在后门
2、漏洞复现
需要工具:浏览器、burp suite、base64编码工具(如插件hackbar)
1)首先开启PHPstudy服务,在浏览器中设置代理模式设置端口与burp监听端口一致,