phpstudy后门

一、漏洞描述

Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer

多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。

正是这样一款公益性软件,2018年12月4日,西湖区公安分局网警大队接报案称,某公司发现公司内有20余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据 回传大量敏感信

二、后门文件路径

phpStudy2016

php\php-5.2.17\ext\php_xmlrpc.dll

php\php-5.4.45\ext\php_xmlrpc.dll

phpStudy2018

PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll

PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

三、后门检测

我们只需要以文本打开该文件,搜索@eval这个代码,如果搜索出@eval(%s(‘%s’),则代表后门存在。

检查是否引用了php_xmlrpc.dll文件(只要引用了该文件,恶意代码就可以触发)

通过php探针查看

通过php.ini配置文件查看

四、后门利用

burp抓包,构造payload

Accept-Encoding要把gzip, deflate里逗号后面的空格去掉,不然命令执行不成功

Accept-Charset 的值就是执行的命令, 需要进行base64编码

这里执行的是system('ipconfig');

phpstudy后门相关推荐

  1. python phpstudy_GitHub - Writeup007/phpStudyBackDoor: phpStudy后门检测与利用工具,Python脚本,可一键 GetShell。...

    phpStudyBackDoor phpStudy后门检测与利用工具,Python脚本,可一键 GetShell. 简述 2019年9月20日,网上传出 phpStudy 软件存在后门,随后作者立即发 ...

  2. phpstudy后门代码利用及分析

    几天前火绒说我的PHPstudy有马,我以为是误报没有在意,但接着我就在知乎上看到了PHPstudy真可能有后门,于是赶紧看了一下,还真有,是我之前下的2016版的,而我在官网下的2019的phpst ...

  3. 使用 Ghidra 分析 phpStudy 后门

    作者:lu4nx@知道创宇404积极防御实验室 作者博客:<使用 Ghidra 分析 phpStudy 后门> 原文链接:https://paper.seebug.org/1058/ 这次 ...

  4. PhpStudy 后门分析

    作者:Hcamael@知道创宇404实验室 时间:2019年9月26日 原文链接:https://paper.seebug.org/1044/ 背景介绍 2019/09/20,一则杭州警方通报打击涉网 ...

  5. 蚁剑连接php3,利用中国蚁剑无文件连接 phpstudy 后门方法

    利用中国蚁剑无文件连接 phpstudy 后门方法 0x01 描述 Phpstudy 是一款 PHP 调试环境的程序集成包, 集成了最新的 Apache,PHP,phpMyAdmin,ZendOpti ...

  6. phpstudy后门(转自feng)

    几天前火绒说我的PHPstudy有马,我以为是误报没有在意,但接着我就在知乎上看到了PHPstudy真可能有后门,于是赶紧看了一下,还真有,是我之前下的2016版的,而我在官网下的2019的phpst ...

  7. phpstudy后门漏洞复现

    笔记 前言 如果服务器是用phpstudy2016或phpstudy2018搭建的,那么就有可能存在后门 发现漏洞 后门代码在phpStudy2016和phpStudy2018的php-5.2.17或 ...

  8. php7.2 webshell,phpStudy后门分析

    问题概要 有问题的版本如下 phpStudy20180211版本 php5.4.45与php5.2.17 ext扩展文件夹下的php_xmlrpc.dll phpStudy20161103版本 php ...

  9. php后门检测工具,phpStudy后门如何检测和修复

    背景 一篇<Phpstudy官网于2016年被入*,犯罪分子篡改软件并植入后门>让人触目惊心,从官网的下载官方安装包也会有问题,由此可想而知目前已经有多少网站已经沦陷.接到消息的第一时间, ...

最新文章

  1. go语言for的三种形式
  2. QT-Linux开发环境的搭建
  3. 编程必备:c/c++的编程经验技巧!
  4. 黄聪:电子商务关键数字优化(线上部分,上)
  5. python制作一个简单的udp聊天器
  6. 2008年国外最佳Web设计/开发技巧、脚本及资源总结
  7. [第五组] 典型用户 +用例+功能说明书+技术说明书 2017.07.25版
  8. 开心群管 (云机器人群管)网页管理QQ群
  9. 射频识别技术漫谈(16)——Mifare UltraLight
  10. matlab堆积式玫瑰图,[转帖]堆积式南丁格尔玫瑰图模板
  11. 【C语言】用 1 分、5 分、10 分、25 分的硬币凑成任何给定的钱数 x,要求硬币的数目最少
  12. DL/T 645-2007多功能电表通信规约
  13. Vue实现导出Excel功能
  14. 局域网病毒入侵原理和防御
  15. Oracle问题:如何远程连接Oracle数据库
  16. 使用注册表编辑win10鼠标右键菜单,详细解释(右键文件夹、文件以及右键空白区域下三种情况)
  17. 算法数据结构 - 数据结构绪论
  18. laravel vue使用
  19. 移动电源是什么?有哪些类型?
  20. 大学物理质点动力学思维导图_非物理专业大学物理课程教与学

热门文章

  1. java计算机毕业设计springboot+vue中国古诗词网站(源码+系统+mysql数据库+Lw文档)
  2. 程序设计我爱你_如何用爱设计
  3. 超级3GP转换器 V1.6.3.0 纯免费的
  4. oracle报错1034,oracle数据库登陆报错ora-1034
  5. Android通讯录模糊查询搜索(号码,姓名,首字母简拼,全拼),批量选取联系人
  6. 将字符串“name=zhangsan age=18 classNo=201062001”拆分为“zhangsan 18 20162001 ”
  7. 微信公众平台开发__导航
  8. Miscellaneous Warning EPERM: EPERM: operation not permitted
  9. 拒绝无用功,封装一个通用的 PopupWindow
  10. DeepLearning4J入门——使用LSTM进行大盘回归