PhpStudy 后门分析

作者：Hcamael@知道创宇404实验室

时间：2019年9月26日2019/09/20，一则杭州警方通报打击涉网违法犯罪专项行动战果的新闻出现在我的朋友圈，其中通报了警方发现PhpStudy软件被种入后门后进行的侦查和逮捕了犯罪嫌疑人的事情。用PhpStudy的Web狗还挺多的，曾经我还是Web狗的时候也用过几天，不过因为不习惯就卸了。还记得当初会用PhpStudy的原因是在网上自学一些Web方向的课程时，那些课程中就是使用PhpStudy。在拿到样本后，我就对PhpStudy中的后门进行了一波逆向分析。最近关于讲phpstudy的文章很多，不过我只得到一个信息，后门在php_xmlrpc.dll文件中，有关键词：”eval(%s(%s))”。得知这个信息后，就降低了前期的工作难度。可以直接对该dll文件进行逆向分析。我拿到的是2018 phpstudy的样本:
MD5 (php_xmlrpc.dll) = c339482fd2b233fb0a555b629c0ea5d5对字符串进行搜索，很容易的搜到了函数：
sub_100031F0经过对该函数逆向分析，发现该后门可以分为三种形式：从
unk_1000D66C到
unk_1000E5C4为zlib压缩的payload，后门检查请求头，当满足要求后，会获取压缩后的payload，然后执行
@eval(gzuncompress(payload))，把payload解压后再执行，经过提取，该payload为：当请求头里面不含有
Accept-Encoding字段，并且时间戳满足一定条件后，会执行
asc_1000D028到
unk_1000D66C经过压缩的payload，同第一种情况。提取后解压得到该payload：当请求头满足一定条件后，会提取一个请求头字段，进行base64解码，然后
zend_eval_string执行解码后的exp。研究了后门类型后，再来看看什么情况下会进入该函数触发该后门。查询
sub_100031F0函数的引用信息发现：该函数存在于一个结构体中，该结构体为
_zend_module_entry结构体：
sub_100031F0函数为
request_startup_func，该字段表示在请求初始化阶段回调的函数。从这里可以知道，只要php成功加载了存在后门的xmlrpc.dll，那么任何只要构造对应的后门请求头，那么就能触发后门。在Nginx服务器的情况下就算请求一个不存在的路径，也会触发该后门。由于该后门存在于php的ext扩展中，所以不管是nginx还是apache还免费云主机域名是IIS介受影响。修复方案也很简单，把php的
php_xmlrpc.dll替换成无后门的版本，或者现在直接去官网下载，官网现在的版本经检测都不存后门。虽然又对后门的范围进行了一波研究，发现后门只存在于
php-5.4.45和
php-5.2.17两个版本中：随后又在第三方网站上(
https://www.php.cn/xiazai/gongju/89)上下载了phpstudy2016，却发现不存在后门:之后同事又发了我一份他2018年在官网下载的phpstudy2016，发现同样存在后门，跟2018版的一样，只有两个版本的php存在后门：查看发现第三方网站上是于2017-02-13更新的phpstudy2016。通过ZoomEye探测phpstudy可以使用以下dork：可能受影响的目标全球分布概况：

可能受影响的目标全国分布概况：

毕竟是国产软件，受影响最多的国家还是中国，其次是美国。对美国受影响的目标进行简单的探查发现基本都是属于IDC机房的机器，猜测都是国人在购买的vps上搭建的PhpStudy。知道创宇404积极防御团队检测到2019/09/24开始，互联网上有人开始对PhpStudy后门中的RCE进行利用。2019/09/24攻击总数13320，攻击IP数110，被攻击网站数6570，以下是攻击来源TOP 20:2019/09/25攻击总数45012，攻击IP数187，被攻击网站数10898，以下是攻击来源TOP 20:攻击源国家分布：省份分布：攻击payload:
如需转载，请注明来源

相关推荐: HTML中canvas标签怎么用

这篇文章主要为大家展示了“HTML中canvas标签怎么用”，内容简而易懂，条理清晰，希望能够帮助大家解决疑惑，下面让小编带领大家一起研究并学习一下“HTML中canvas标签怎么用”这篇文章吧。 HTML标签实例 通过元素来显示一个红色的矩形： varcan…