码迷,mamicode.com
首页 > Web开发 > 详细

phpstudy后门利用

时间:2019-10-17 13:27:11      阅读:114      评论:0      收藏:0      [点我收藏+]

标签:PHP代码   XML   dll   str   har   特殊   异常   网站   mamicode   

PHPStudy被爆出存在后门,PHP扩展的php_xmlrpc.dll文件被替换,攻击者向网站服务器发送特殊构造的HTTP请求即可执行任意PHP代码。

分析发现以下2个dll文件被替换并植入了后门:

php-5.4.45/ext/php_xmlrpc.dll
php-5.2.17/ext/php_xmlrpc.dll

在dll文件中搜索"eval("确实发现存在异常代码:

技术图片

 

PoC:

技术图片

注意:要把“gzip,deflate”逗号后面的空格删掉;“Accept-CharSet: c3lzdGVtKCdpcGNvbmZpZycpOw==”是base64编码后的形式,原文为:“Accept-CharSet: system(‘ipconfig‘);”。

奇安信写的分析文章:https://mp.weixin.qq.com/s/t-P-n98ZydP3aSCdC0C9hQ

 

phpstudy后门利用

标签:PHP代码   XML   dll   str   har   特殊   异常   网站   mamicode   

原文地址:https://www.cnblogs.com/dgjnszf/p/11691405.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!