【实战篇】记一次蚁剑无文件连接phpstudy后门

  • A+
所属分类:安全文章
【实战篇】记一次蚁剑无文件连接phpstudy后门
点击上方“公众号” 可以订阅哦!

Hello,这里是一名白帽的成长史~【实战篇】记一次蚁剑无文件连接phpstudy后门【实战篇】记一次蚁剑无文件连接phpstudy后门

【实战篇】记一次蚁剑无文件连接phpstudy后门

今天继续来分享一下HW期间的案例。

【实战篇】记一次蚁剑无文件连接phpstudy后门

在HW期间,发现某IP频繁发起扫描攻击。

【实战篇】记一次蚁剑无文件连接phpstudy后门

后续通过phpstudy后门进行反制,一起来看看吧~

【实战篇】记一次蚁剑无文件连接phpstudy后门
【实战篇】记一次蚁剑无文件连接phpstudy后门


Part.1

漏洞说明


漏洞介绍

PhpStudy是一款集安全,高效,功能与一体,支持一键LAMP,LNMP,集群,监控,网站,FTP,数据库,JAVA等100多项服务器管理功能的国产PHP调试环境的程序集成包。


在2016以及2018年某些版本中,存在后门可直接进行RCE。


【实战篇】记一次蚁剑无文件连接phpstudy后门


漏洞代码

后门代码存在于extphp_xmlrpc.dll模块中:

【实战篇】记一次蚁剑无文件连接phpstudy后门

通过发送以下两个字段,可执行系统命令:

Accept-Encoding:gzip,deflateAccept-Charset:base64加密后的命令

例如执行whoami命令:

【实战篇】记一次蚁剑无文件连接phpstudy后门

执行成功:

ZWNobyBzeXN0ZW0oIndob2FtaSIpOw==
【实战篇】记一次蚁剑无文件连接phpstudy后门


【实战篇】记一次蚁剑无文件连接phpstudy后门


影响范围

Phpstudy+2016版+php-5.4

Phpstudy+2018版+php-5.2.17

Phpstudy+2018版+php-5.4.45

【实战篇】记一次蚁剑无文件连接phpstudy后门


Part.2

漏洞利用


信息收集

通过威胁情报查询攻击IP,并无域名绑定信息:

【实战篇】记一次蚁剑无文件连接phpstudy后门

攻击IP开启80,3389等服务:

【实战篇】记一次蚁剑无文件连接phpstudy后门

尝试直接访问80端口,为初始页面:

【实战篇】记一次蚁剑无文件连接phpstudy后门

存在phpmyadmin服务:

【实战篇】记一次蚁剑无文件连接phpstudy后门

存在phpinfo页面,且版本为5.4.45:

【实战篇】记一次蚁剑无文件连接phpstudy后门

判断目标服务器使用phpstudy进行搭建。


【实战篇】记一次蚁剑无文件连接phpstudy后门


漏洞利用

尝试执行系统命令,发现存在后门:

【实战篇】记一次蚁剑无文件连接phpstudy后门

将一句话木马进行base64加密:

【实战篇】记一次蚁剑无文件连接phpstudy后门

使用蚁剑进行连接,密码为上面的123:

【实战篇】记一次蚁剑无文件连接phpstudy后门

添加请求头字段,发送一句话木马:

【实战篇】记一次蚁剑无文件连接phpstudy后门

连接成功:

【实战篇】记一次蚁剑无文件连接phpstudy后门


【实战篇】记一次蚁剑无文件连接phpstudy后门


溯源分析

翻找本地文件,可以找到大量作案工具:

【实战篇】记一次蚁剑无文件连接phpstudy后门

以及定点进行的信息收集:

【实战篇】记一次蚁剑无文件连接phpstudy后门

//基本确定为红队机器


找到chrome浏览器数据,获取攻击者信息:

C:/Users/Administrator/AppData/Local/Google/Chrome/UserData/Default/Login Data
【实战篇】记一次蚁剑无文件连接phpstudy后门

也可以通过以下两款工具直接读取:

https://github.com/AlessandroZ/LaZagnehttps://github.com/djhohnstein/sharpweb
【实战篇】记一次蚁剑无文件连接phpstudy后门

//获取京东(手机号)以及微步用户名信息。


【实战篇】记一次蚁剑无文件连接phpstudy后门


修复方法:

1、可以从PHP官网下载原始php-5.4.45版本或php-5.2.17版本,替换其中的php_xmlrpc.dll:

https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.ziphttps://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip


2、目前phpstudy官网上的版本不存在后门,可在phpsudy官网下载安装包进行更新。

【实战篇】记一次蚁剑无文件连接phpstudy后门


Part.3

结语


好啦,以上就是今天的全部内容了~

【实战篇】记一次蚁剑无文件连接phpstudy后门

欢迎关注我的个人微信公众号。

【实战篇】记一次蚁剑无文件连接phpstudy后门

Peace !【实战篇】记一次蚁剑无文件连接phpstudy后门

“在看”我吗?

【实战篇】记一次蚁剑无文件连接phpstudy后门

本文始发于微信公众号(一名白帽的成长史):【实战篇】记一次蚁剑无文件连接phpstudy后门

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: