开源项目 | BurpSuite插件:phpStudy后门检测插件

admin 2019年9月24日22:49:33安全开发评论1,124 views782字阅读2分36秒阅读模式

背景

phpStudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户

9月20日杭州公安微信公众账号发布了“杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果”的文章,文章里说明phpstudy存在“后门


影响版本

phpstudy 2016 php5.4
phpstudy2018 php-5.2.17和php-5.4.45


本地后门检测方法

通过分析,后门代码存在于extphp_xmlrpc.dll模块中
phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45
phpStudy2016路径
phpphp-5.2.17extphp_xmlrpc.dll
phpphp-5.4.45extphp_xmlrpc.dll
phpStudy2018路径
PHPTutorialphpphp-5.2.17extphp_xmlrpc.dll
PHPTutorialphpphp-5.4.45extphp_xmlrpc.dl

用记事本打开此文件查找@eval,文件存在@eval(%s('%s'))证明漏洞存在


插件说明

写了一个BurpSuite的被动检测插件,被动爬虫爬到的地址都会进行请求探测是否存在后门。


项目开源地址:https://github.com/gh0stkey/BurpSuite-Extender-phpStudy-Backdoor-Scanner


所需环境:准备一个BurpSuite&&该BurpSuite加载了Jython的Jar包

使用方法:加载插件(python文件)

开源项目 | BurpSuite插件:phpStudy后门检测插件

测试截图:

开源项目 | BurpSuite插件:phpStudy后门检测插件

点击阅读原文即可访问开源项目地址




特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2019年9月24日22:49:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  开源项目 | BurpSuite插件:phpStudy后门检测插件 http://cn-sec.com/archives/69500.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: