下載本文檔
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
【移動應(yīng)用開發(fā)技術(shù)】PhpStudy后門分析
作者:Hcamael@知道創(chuàng)宇404實(shí)驗(yàn)室
時間:2019年9月26日背景介紹2019/09/20,一則杭州警方通報(bào)打擊涉網(wǎng)違法犯罪專項(xiàng)行動戰(zhàn)果的新聞出現(xiàn)在我的朋友圈,其中通報(bào)了警方發(fā)現(xiàn)PhpStudy軟件被種入后門后進(jìn)行的偵查和逮捕了犯罪嫌疑人的事情。用PhpStudy的Web狗還挺多的,曾經(jīng)我還是Web狗的時候也用過幾天,不過因?yàn)椴涣?xí)慣就卸了。還記得當(dāng)初會用PhpStudy的原因是在網(wǎng)上自學(xué)一些Web方向的課程時,那些課程中就是使用PhpStudy。在拿到樣本后,我就對PhpStudy中的后門進(jìn)行了一波逆向分析。后門分析最近關(guān)于講phpstudy的文章很多,不過我只得到一個信息,后門在php_xmlrpc.dll文件中,有關(guān)鍵詞:"eval(%s(%s))"。得知這個信息后,就降低了前期的工作難度。可以直接對該dll文件進(jìn)行逆向分析。我拿到的是2018phpstudy的樣本:
MD5(php_xmlrpc.dll)=c339482fd2b233fb0a555b629c0ea5d5對字符串進(jìn)行搜索,很容易的搜到了函數(shù):
sub_100031F0經(jīng)過對該函數(shù)逆向分析,發(fā)現(xiàn)該后門可以分為三種形式:從
unk_1000D66C到
unk_1000E5C4為zlib壓縮的payload,后門檢查請求頭,當(dāng)滿足要求后,會獲取壓縮后的payload,然后執(zhí)行
@eval(gzuncompress(payload)),把payload解壓后再執(zhí)行,經(jīng)過提取,該payload為:當(dāng)請求頭里面不含有
Accept-Encoding字段,并且時間戳滿足一定條件后,會執(zhí)行
asc_1000D028到
unk_1000D66C經(jīng)過壓縮的payload,同第一種情況。提取后解壓得到該payload:當(dāng)請求頭滿足一定條件后,會提取一個請求頭字段,進(jìn)行base64解碼,然后
zend_eval_string執(zhí)行解碼后的exp。研究了后門類型后,再來看看什么情況下會進(jìn)入該函數(shù)觸發(fā)該后門。查詢
sub_100031F0函數(shù)的引用信息發(fā)現(xiàn):該函數(shù)存在于一個結(jié)構(gòu)體中,該結(jié)構(gòu)體為
_zend_module_entry結(jié)構(gòu)體:
sub_100031F0函數(shù)為
request_startup_func,該字段表示在請求初始化階段回調(diào)的函數(shù)。從這里可以知道,只要php成功加載了存在后門的xmlrpc.dll,那么任何只要構(gòu)造對應(yīng)的后門請求頭,那么就能觸發(fā)后門。在Nginx服務(wù)器的情況下就算請求一個不存在的路徑,也會觸發(fā)該后門。由于該后門存在于php的ext擴(kuò)展中,所以不管是nginx還是apache還是IIS介受影響。修復(fù)方案也很簡單,把php的
php_xmlrpc.dll替換成無后門的版本,或者現(xiàn)在直接去官網(wǎng)下載,官網(wǎng)現(xiàn)在的版本經(jīng)檢測都不存后門。雖然又對后門的范圍進(jìn)行了一波研究,發(fā)現(xiàn)后門只存在于
php-5.4.45和
php-5.2.17兩個版本中:隨后又在第三方網(wǎng)站上(
/xiazai/gongju/89)上下載了phpstudy2016,卻發(fā)現(xiàn)不存在后門:之后同事又發(fā)了我一份他2018年在官網(wǎng)下載的phpstudy2016,發(fā)現(xiàn)同樣存在后門,跟2018版的一樣,只有兩個版本的php存在后門:查看發(fā)現(xiàn)第三方網(wǎng)站上是于2017-02-13更新的phpstudy2016。ZoomEye數(shù)據(jù)通過ZoomEye探測phpstudy可以使用以下dork:可能受影響的目標(biāo)全球分布概況:
可能受影響的目標(biāo)全國分布概況:
畢竟是國產(chǎn)軟件,受影響最多的國家還是中國,其次是美國。對美國受影響的目標(biāo)進(jìn)行簡單的探查發(fā)現(xiàn)基本都是屬于IDC機(jī)房的機(jī)器,猜測都是國人在購買的vps上搭建的PhpStudy。知道創(chuàng)宇云防御數(shù)據(jù)知道創(chuàng)宇404積極防御團(tuán)隊(duì)檢測到2019/09/24開始,互聯(lián)網(wǎng)上有人開始對PhpStudy后門中的RCE進(jìn)行利用。2019/09/24攻擊總數(shù)13320,攻擊IP數(shù)110,被攻擊網(wǎng)站數(shù)6570,以下是攻擊來源TOP20:
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- GA/T 527.2-2024道路交通信號控制方式第2部分:通行狀態(tài)與控制效益評估指標(biāo)及方法
- GM/T 0019-2023通用密碼服務(wù)接口規(guī)范
- 夏日里的清涼二年級作文
- 部編版七年級下冊《第21課 古代詩歌五首》2024年同步練習(xí)卷
- 冀教版八年級下冊《Lesson 20 A Computer Helps》同步練習(xí)卷
- 2024-2025學(xué)年高一歷史人教統(tǒng)編版中外歷史綱要下冊同步課時訓(xùn)練 第2課 古代世界的帝國與文明交流(含解析)
- 2024秋五年級英語上冊 Module 1 Unit 1 Did you come back yesterday第2課時教案 外研版(三起)
- 2024秋七年級語文上冊 第3單元 第11課《論語》十二章教案 新人教版
- 2024秋九年級歷史上冊 第五單元 第15課 血腥的資本積累教案 新人教版
- 2024天貓店鋪轉(zhuǎn)讓合同范本
- 臥式油罐容積計(jì)算
- 河南省中小學(xué)教師副高職稱評審申報(bào)指南(含六個附件證明模板)
- 2024年國慶節(jié)思想報(bào)告范文:憧憬祖國的未來
- 浙能電力公司招聘考試題目
- 醫(yī)療品管圈課件
- 發(fā)散思維訓(xùn)練
- 深度解析保障農(nóng)民工工資支付條例課件
- 茶咖創(chuàng)業(yè)計(jì)劃書
- 北京市豐臺區(qū)2023-2024學(xué)年九年級上學(xué)期期末英語試卷+
- 2023年浙江省寧波市中考語文試卷及答案解析
- 《麻醉術(shù)前評價》課件
評論
0/150
提交評論