【实战篇】记一次蚁剑无文件连接phpstudy后门

Hello，这里是一名白帽的成长史~今天继续来分享一下HW期间的案例。在HW期间，发现某IP频繁发起扫描攻击。

后续通过phpstudy后门进行反制，一起来看看吧~

Part.1

漏洞说明

漏洞介绍

PhpStudy是一款集安全，高效，功能与一体，支持一键LAMP，LNMP，集群，监控，网站，FTP，数据库，JAVA等100多项服务器管理功能的国产PHP调试环境的程序集成包。

在2016以及2018年某些版本中，存在后门可直接进行RCE。

漏洞代码

后门代码存在于\ext\php_xmlrpc.dll模块中：

通过发送以下两个字段，可执行系统命令：

Accept-Encoding:gzip,deflate
Accept-Charset:base64加密后的命令

例如执行whoami命令：

执行成功：

ZWNobyBzeXN0ZW0oIndob2FtaSIpOw==

影响范围

Phpstudy+2016版+php-5.4

Phpstudy+2018版+php-5.2.17

Phpstudy+2018版+php-5.4.45

Part.2

漏洞利用

信息收集

通过威胁情报查询攻击IP，并无域名绑定信息：

攻击IP开启80，3389等服务：

尝试直接访问80端口，为初始页面：

存在phpmyadmin服务：

存在phpinfo页面，且版本为5.4.45：

判断目标服务器使用phpstudy进行搭建。

漏洞利用

尝试执行系统命令，发现存在后门：

将一句话木马进行base64加密：

使用蚁剑进行连接，密码为上面的123：

添加请求头字段，发送一句话木马：

连接成功：

溯源分析

翻找本地文件，可以找到大量作案工具：

以及定点进行的信息收集：

//基本确定为红队机器

找到chrome浏览器数据，获取攻击者信息：

C:/Users/Administrator/AppData/Local/Google/Chrome/UserData/Default/Login Data

也可以通过以下两款工具直接读取：

https://github.com/AlessandroZ/LaZagne
https://github.com/djhohnstein/sharpweb

//获取京东(手机号)以及微步用户名信息。

修复方法：

1、可以从PHP官网下载原始php-5.4.45版本或php-5.2.17版本，替换其中的php_xmlrpc.dll：

https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip
https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip

2、目前phpstudy官网上的版本不存在后门，可在phpsudy官网下载安装包进行更新。

Part.3

结语

好啦，以上就是今天的全部内容了~