phpstudy后门利用

PHPStudy被爆出存在后门，PHP扩展的php_xmlrpc.dll文件被替换，攻击者向网站服务器发送特殊构造的HTTP请求即可执行任意PHP代码。

分析发现以下2个dll文件被替换并植入了后门：

php-5.4.45/ext/php_xmlrpc.dll
php-5.2.17/ext/php_xmlrpc.dll

在dll文件中搜索"eval("确实发现存在异常代码：

?

PoC:

注意：要把“gzip,deflate”逗号后面的空格删掉；“Accept-CharSet: c3lzdGVtKCdpcGNvbmZpZycpOw==”是base64编码后的形式，原文为：“Accept-CharSet: system(‘ipconfig‘);”。

奇安信写的分析文章：https://mp.weixin.qq.com/s/t-P-n98ZydP3aSCdC0C9hQ

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!