phpStudy后门RCE,复现/批量脚本/修复

  • 发表于
  • Vulndb

phpStudy后门介绍

phpStudy是国内一款免费的PHP环境集成包,集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer等多款软件,无需配置即可直接安装使用,有着近百万PHP用户。近日被爆出phpStudy存在RCE后门,并通过验证复现。

  • 软件作者声明:phpstudy 2016版PHP5.4存在后门。
  • 实际测试官网下载phpstudy2018版php-5.2.17和php-5.4.45也同样存在后门

据传漏洞形成原因是官网被入侵后植入后门,嫌疑人已被抓。

后门检测方法

手动检查

后门代码存在于\ext\php_xmlrpc.dll模块中,phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45

phpStudy2016路径

phpStudy2018路径

用记事本打开此文件查找@eval,文件存在@eval(%s(‘%s’))证明漏洞存在

phpStudy后门RCE,复现/批量脚本/修复
phpStudy后门RCE检测

附后门文件MD5值:

工具检查并修复

官方发布了:phpstudy 安全自检修复程序,可用于2016 2018版本的安全检测与修复,下载该文件一键检查与修复。

phpStudy后门RCE与复现

其中要注意的是accept-charset,里边是要执行的命令base64加密。

RCE来源:https://www.cnblogs.com/-qing-/p/11575622.html,来源文章中作者还提供了phpStudy RCE批量与交互脚本,有意自取。

应对措施

  1. 对服务器进项全盘查杀,检查web程序是否存在后门和Webshell,检查操作系统是否有隐藏的账号以及后门。
  2. 使用phpStudy官方发布的自检修复程序进行检查与修复,地址在上面。
  3. 在官网下载全新的phpStudy程序,新版没有后门。