【移動應(yīng)用開發(fā)技術(shù)】PhpStudy 后門分析_第1頁
【移動應(yīng)用開發(fā)技術(shù)】PhpStudy 后門分析_第2頁
【移動應(yīng)用開發(fā)技術(shù)】PhpStudy 后門分析_第3頁
【移動應(yīng)用開發(fā)技術(shù)】PhpStudy 后門分析_第4頁
免費(fèi)預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

【移動應(yīng)用開發(fā)技術(shù)】PhpStudy后門分析

作者:Hcamael@知道創(chuàng)宇404實(shí)驗(yàn)室

時間:2019年9月26日背景介紹2019/09/20,一則杭州警方通報(bào)打擊涉網(wǎng)違法犯罪專項(xiàng)行動戰(zhàn)果的新聞出現(xiàn)在我的朋友圈,其中通報(bào)了警方發(fā)現(xiàn)PhpStudy軟件被種入后門后進(jìn)行的偵查和逮捕了犯罪嫌疑人的事情。用PhpStudy的Web狗還挺多的,曾經(jīng)我還是Web狗的時候也用過幾天,不過因?yàn)椴涣?xí)慣就卸了。還記得當(dāng)初會用PhpStudy的原因是在網(wǎng)上自學(xué)一些Web方向的課程時,那些課程中就是使用PhpStudy。在拿到樣本后,我就對PhpStudy中的后門進(jìn)行了一波逆向分析。后門分析最近關(guān)于講phpstudy的文章很多,不過我只得到一個信息,后門在php_xmlrpc.dll文件中,有關(guān)鍵詞:"eval(%s(%s))"。得知這個信息后,就降低了前期的工作難度。可以直接對該dll文件進(jìn)行逆向分析。我拿到的是2018phpstudy的樣本:

MD5(php_xmlrpc.dll)=c339482fd2b233fb0a555b629c0ea5d5對字符串進(jìn)行搜索,很容易的搜到了函數(shù):

sub_100031F0經(jīng)過對該函數(shù)逆向分析,發(fā)現(xiàn)該后門可以分為三種形式:從

unk_1000D66C到

unk_1000E5C4為zlib壓縮的payload,后門檢查請求頭,當(dāng)滿足要求后,會獲取壓縮后的payload,然后執(zhí)行

@eval(gzuncompress(payload)),把payload解壓后再執(zhí)行,經(jīng)過提取,該payload為:當(dāng)請求頭里面不含有

Accept-Encoding字段,并且時間戳滿足一定條件后,會執(zhí)行

asc_1000D028到

unk_1000D66C經(jīng)過壓縮的payload,同第一種情況。提取后解壓得到該payload:當(dāng)請求頭滿足一定條件后,會提取一個請求頭字段,進(jìn)行base64解碼,然后

zend_eval_string執(zhí)行解碼后的exp。研究了后門類型后,再來看看什么情況下會進(jìn)入該函數(shù)觸發(fā)該后門。查詢

sub_100031F0函數(shù)的引用信息發(fā)現(xiàn):該函數(shù)存在于一個結(jié)構(gòu)體中,該結(jié)構(gòu)體為

_zend_module_entry結(jié)構(gòu)體:

sub_100031F0函數(shù)為

request_startup_func,該字段表示在請求初始化階段回調(diào)的函數(shù)。從這里可以知道,只要php成功加載了存在后門的xmlrpc.dll,那么任何只要構(gòu)造對應(yīng)的后門請求頭,那么就能觸發(fā)后門。在Nginx服務(wù)器的情況下就算請求一個不存在的路徑,也會觸發(fā)該后門。由于該后門存在于php的ext擴(kuò)展中,所以不管是nginx還是apache還是IIS介受影響。修復(fù)方案也很簡單,把php的

php_xmlrpc.dll替換成無后門的版本,或者現(xiàn)在直接去官網(wǎng)下載,官網(wǎng)現(xiàn)在的版本經(jīng)檢測都不存后門。雖然又對后門的范圍進(jìn)行了一波研究,發(fā)現(xiàn)后門只存在于

php-5.4.45和

php-5.2.17兩個版本中:隨后又在第三方網(wǎng)站上(

/xiazai/gongju/89)上下載了phpstudy2016,卻發(fā)現(xiàn)不存在后門:之后同事又發(fā)了我一份他2018年在官網(wǎng)下載的phpstudy2016,發(fā)現(xiàn)同樣存在后門,跟2018版的一樣,只有兩個版本的php存在后門:查看發(fā)現(xiàn)第三方網(wǎng)站上是于2017-02-13更新的phpstudy2016。ZoomEye數(shù)據(jù)通過ZoomEye探測phpstudy可以使用以下dork:可能受影響的目標(biāo)全球分布概況:

可能受影響的目標(biāo)全國分布概況:

畢竟是國產(chǎn)軟件,受影響最多的國家還是中國,其次是美國。對美國受影響的目標(biāo)進(jìn)行簡單的探查發(fā)現(xiàn)基本都是屬于IDC機(jī)房的機(jī)器,猜測都是國人在購買的vps上搭建的PhpStudy。知道創(chuàng)宇云防御數(shù)據(jù)知道創(chuàng)宇404積極防御團(tuán)隊(duì)檢測到2019/09/24開始,互聯(lián)網(wǎng)上有人開始對PhpStudy后門中的RCE進(jìn)行利用。2019/09/24攻擊總數(shù)13320,攻擊IP數(shù)110,被攻擊網(wǎng)站數(shù)6570,以下是攻擊來源TOP20:

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論