晚安 "你别急,我会慢慢的走出你的世界,不留痕迹"
PhpStudy隐藏后门的那点事!
发表于 2019-9-24 | | 挖洞骚姿势

0x01:前言

近日,phpStudy被公告疑似遭遇黑客攻击,程序包自带PHP的php_xmlrpc.dll模块隐藏有后门,经网友确认phpStudy2016、phpStudy2018的部分版本有后门,建议使用该版本的用户立即进行安全加固处理。

通过分析,后门代码存在于\ext\php_xmlrpc.dll模块中,至少有2个版本:
php5.2木马文件
php5.4漏洞文件
用户可以通过搜索php_xmlrpc.dll模块中包含“@eval”关键字快速判断是否是存在后门的版本,命令参考:

findstr /m /s /c:”@eval.

0x02:复现

PhpStudy版本:phpStudy_2016.11.03
下载地址:

http://www.daoblogs.org/content/uploadfile/phps/phpStudy_2016.11.03.zip

 

0x03:修复

phpStudy启动时默认加载php-5.4.45版本的PHP,该版本存在后门,可以从PHP官网下载原始php-5.4.45版本或php-5.2.17版本,替换其中的php_xmlrpc.dll,下载地址:

https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip
https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip

评论:

littlebin404
2019-10-31 09:34
运行结果是乱码:命令返回的数据:锘匡豢锘?   请问这是什么原因,后门是存在的

2019-11-02 18:30
@littlebin404:我的是GBK编码请使用GBK编码编译程序,javac -encoding GBK test.java

发表评论:

TOP