phpstudy后门利用

Posted dgjnszf

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了phpstudy后门利用相关的知识,希望对你有一定的参考价值。

phpStudy被爆出存在后门,PHP扩展的php_xmlrpc.dll文件被替换,攻击者向网站服务器发送特殊构造的HTTP请求即可执行任意PHP代码。

分析发现以下2个dll文件被替换并植入了后门:

php-5.4.45/ext/php_xmlrpc.dll
php-5.2.17/ext/php_xmlrpc.dll

在dll文件中搜索"eval("确实发现存在异常代码:

技术图片

 

PoC:

技术图片

注意:要把“gzip,deflate”逗号后面的空格删掉;“Accept-CharSet: c3lzdGVtKCdpcGNvbmZpZycpOw==”是base64编码后的形式,原文为:“Accept-CharSet: system(‘ipconfig‘);”。

奇安信写的分析文章:https://mp.weixin.qq.com/s/t-P-n98ZydP3aSCdC0C9hQ

 

以上是关于phpstudy后门利用的主要内容,如果未能解决你的问题,请参考以下文章

phpstudy都有哪些漏洞

网站被***怎么处理 phpstudy存在后门漏洞

使用Ghidra分析phpStudy后门

Phpstudy被暴存在隐藏后门-检查方法

PhpStudy后门漏洞实战复现

phpstudy 后门批量验证[golang]