phpstudy后门

一、漏洞描述

Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer

多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。

正是这样一款公益性软件,2018年12月4日,西湖区公安分局网警大队接报案称,某公司发现公司内有20余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据 回传大量敏感信

二、后门文件路径

phpStudy2016

php\php-5.2.17\ext\php_xmlrpc.dll

php\php-5.4.45\ext\php_xmlrpc.dll

phpStudy2018

PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll

PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

三、后门检测

我们只需要以文本打开该文件,搜索@eval这个代码,如果搜索出@eval(%s(‘%s’),则代表后门存在。

检查是否引用了php_xmlrpc.dll文件(只要引用了该文件,恶意代码就可以触发)

通过php探针查看

通过php.ini配置文件查看

四、后门利用

burp抓包,构造payload

Accept-Encoding要把gzip, deflate里逗号后面的空格去掉,不然命令执行不成功

Accept-Charset 的值就是执行的命令, 需要进行base64编码

这里执行的是system('ipconfig');

phpstudy后门相关推荐

  1. python phpstudy_GitHub - Writeup007/phpStudyBackDoor: phpStudy后门检测与利用工具,Python脚本,可一键 GetShell。...

    phpStudyBackDoor phpStudy后门检测与利用工具,Python脚本,可一键 GetShell. 简述 2019年9月20日,网上传出 phpStudy 软件存在后门,随后作者立即发 ...

  2. phpstudy后门代码利用及分析

    几天前火绒说我的PHPstudy有马,我以为是误报没有在意,但接着我就在知乎上看到了PHPstudy真可能有后门,于是赶紧看了一下,还真有,是我之前下的2016版的,而我在官网下的2019的phpst ...

  3. 使用 Ghidra 分析 phpStudy 后门

    作者:lu4nx@知道创宇404积极防御实验室 作者博客:<使用 Ghidra 分析 phpStudy 后门> 原文链接:https://paper.seebug.org/1058/ 这次 ...

  4. PhpStudy 后门分析

    作者:Hcamael@知道创宇404实验室 时间:2019年9月26日 原文链接:https://paper.seebug.org/1044/ 背景介绍 2019/09/20,一则杭州警方通报打击涉网 ...

  5. 蚁剑连接php3,利用中国蚁剑无文件连接 phpstudy 后门方法

    利用中国蚁剑无文件连接 phpstudy 后门方法 0x01 描述 Phpstudy 是一款 PHP 调试环境的程序集成包, 集成了最新的 Apache,PHP,phpMyAdmin,ZendOpti ...

  6. phpstudy后门(转自feng)

    几天前火绒说我的PHPstudy有马,我以为是误报没有在意,但接着我就在知乎上看到了PHPstudy真可能有后门,于是赶紧看了一下,还真有,是我之前下的2016版的,而我在官网下的2019的phpst ...

  7. phpstudy后门漏洞复现

    笔记 前言 如果服务器是用phpstudy2016或phpstudy2018搭建的,那么就有可能存在后门 发现漏洞 后门代码在phpStudy2016和phpStudy2018的php-5.2.17或 ...

  8. php7.2 webshell,phpStudy后门分析

    问题概要 有问题的版本如下 phpStudy20180211版本 php5.4.45与php5.2.17 ext扩展文件夹下的php_xmlrpc.dll phpStudy20161103版本 php ...

  9. php后门检测工具,phpStudy后门如何检测和修复

    背景 一篇<Phpstudy官网于2016年被入*,犯罪分子篡改软件并植入后门>让人触目惊心,从官网的下载官方安装包也会有问题,由此可想而知目前已经有多少网站已经沦陷.接到消息的第一时间, ...

最新文章

  1. SAP MM 没有维护MRP 视图的物料可以正常参与采购业务
  2. 'AvgPool2d' object has no attribute 'divisor_override'
  3. mongodb基本语法
  4. 银河足球队 android 8,银河足球队手机版_银河足球队安卓游戏v1.0.1-游迅网
  5. python的django后台管理_python测试开发django-17.admin后台管理
  6. Python字符型验证码识别
  7. 关于Linux的前世今生(一)
  8. springboot日志配置
  9. 【强化学习】AC注释版本
  10. word图片嵌入式为何只能看到一部分_如何巧妙选择打印Word文档内容?
  11. LabVIEW安装第三方VISA软件后NI VISA失效
  12. 对讲机写频软件通用版_数字对讲机常规调频方法
  13. macOS远程管理linux,MacOS远程控制工具
  14. 2022-08-01 网工进阶(二十四) STP进阶知识
  15. wxml 判断 小程序_微信小程序WXML-小样儿960
  16. CSS 权威指南 CSS实战手册 第四版(阅读笔记)
  17. 建数据库表需要注意哪些点
  18. IDEA中Tomcat启动后提交表单,请求的资源[/servlet_demo2/book-add.html]不可用
  19. 求助,耳机插上后识别不到,扬声器会跟着耳机一块有声
  20. libpq-fe.h:没有那个文件或目录

热门文章

  1. 汉字点阵原理字模读取与显示
  2. oracle保留六位小数,oracle 小数保留位数
  3. SCAU8579、SCAU8580、SCAU8581 链式表的基本操作
  4. 外贸网站推广和分析!
  5. Memcached快递上手之C#
  6. 可以卸载什么程序来对计算机进行瘦身,怎么清理电脑内存-电脑越来越卡了,教你一分钟让电脑瘦身(C盘哪些文件可以删除)...
  7. 20220528【聊聊假芯片】贪便宜往往吃大亏,盘点下那些假的内存卡和固态硬盘
  8. 添加 右键显示隐藏文件+扩展名
  9. ecg 幅度_心电图 (ECG) 与光电容积图 (PPG) 基本工作原理,如何测量?
  10. 记录video-js出现的一些异常