phpstudy后门利用复现

一、漏洞位置

　　程序自带的PHP的PHP_xmlrpc.dll模块中有隐藏后门，受影响的版本有PHPstudy2016(PHP5.2/5.4)、PHPstudy2018(PHP5.2/5.4)等版本。

　　这里我们用PHPstudy2018版本的来验证后门位置及作用。

二、步骤

　　Step1：切换PHP的版本到5.2或者5.4，在PHPstudy的根目录下找到PHPStudyPHPTutorialPHPPHP-5.2.17extPHP_xmlrpc.dll，使用记事本打开该文件，扫所eval。如下图

?

?　　Step2：使用BurpSuite去拦包，修改请求包，其中Accept_Encoding:gzip，deflate 的逗号后面的空格一定要删掉，然后添加一项：Accept_Charset，规定服务器处理表单数据所接受的数据，恶意代码 “system('net user')“用Base64转码，将结果放在后面。

?

　　Step3：提交请求包，查看响应包

?　　

?

?　　可以发现，在Accept-Charset中的命令在目标机上被执行，并返回出结果。

三、修复方法

1. 将PHP5.2和PHP5.3中的PHP_xmlrpc文件替换为官网发布的。
2. 使用“PHPstudy'安全自检修复程序”修复PHPstudy

（编辑：北几岛）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!