phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析(3)

(2)我们可以看到上面的这个Python复现phpstudy远程RCE的脚本针对于单一命令的phpstudy部署的站点例如这种界面额的还比较方便，如果我们不知道绝对路径是不是就不能写入webshell了?????其实这并不会!!!!

(3)针对于phpstudy指针页面无法访问的我们其实可以枚举一下他的物理路径地址即可，不知道绝地路径可以枚举一下物理的绝对理解

然后把列表中的绝地地址元素传入函数中递归请求判断即可，这里就不贴出代码了。

(4)与此同时各位老表在进行枚举检测，但是作为一个白帽子，千万不要越过红线。建议大家检测的时候不要写入一句话木马，直接写出一个phpinfo();比较好也是保护了自己。

(5)Python脚本复现Phpstudy 2016/2018远程RCE漏洞效果：

(1)我在进行随机检测phpstudy的时候已经发现了部分感染主机被黑帽seo利用了，用于增加搜索引擎关键词的排名来吸引流量。

(2)部分检测到存在漏洞phpstudy服务器主机网站根目录下高频出现的php一句话木马文件名如下:

(3)下面的这三位仁兄(大黑客)就是通过了echo的方式写入了webshell一句话木马到网站的根目录下进行链接，先放到一边后面在一起做后门取证。

(4)另类的后门“lishunsheng.php”应该是一个人名的拼音，应该是李姓氏的。

(5)解密后

(6)写出文件名为”text.php”链接密码为“c”的webshell一句话木马到网站根目录下方

(7)还有其他的黑客是通过phpmyadmin登录弱口令密码的系统日志文件写入webshell进来的

2019年9月23日17时30分33秒写入

2019年9月23日18时16分33秒写入webshell

图片转载自腾讯电脑管家