PhpStudy-PHP5.4.45后门漏洞应用程序（C++/base64/winhttp）

news2024/10/5 5:38:06

PhpStudy-PHP5.4.45后门漏洞应用程序（C++/base64/winhttp）

前言
引言（时间回到多年前）
PhpShellCmd.exe
- 使用介绍：
- - （1）输入网址检测是否存在PHP/5.4.45
  - （2）whoami
  - （3）net user查看账户
- 调用库
资源链接（含源码）

前言

翻到了多年前写的一篇文章，那时我成功渗透了一台钓鱼网站，想着要不凭此进入网络安全领域吧，奈何当时关于白帽子的“渗透测试”行为有很多争议，即未经授权的渗透测试就是犯罪，有些免费帮企业找漏洞的白帽子被抓了，要想在这一行有所精进就必须经过大量的实战，而像我这种技术水平不高的“初学者”最容易落下把柄了，哈哈最后经过深思熟虑还是脱离这一领域回归老本行了。

引言（时间回到多年前）

首先声明一下我是个初学者。
事情的起因是这样的，在假期的时候，有个学校qq群里，有人发了个链接，说是学校要求必须打开，我瞬间感到了不对劲。
因为我在小白的时候，也是有个群，有人在里面发了个链接说是校领导要求的有任务，当时太年轻，我打开了链接，是个QQ登录界面，也没多想，就登了进去。而且还问同学看没看到，同学也登了，结果里面什么也没有，是个空界面。心想会不会是因为网站有啥问题所以登不上去，唉，还是太年轻。到了中午发现同学的账号被盗了之后才明白这是个钓鱼网站。从那时起我就发奋学习有关网络渗透的一些知识，当然那时离现在也就不到两年的时间，当时也是没有太多时间来学习渗透，只是渐渐的对这一方面有了些了解，在网上找了一些大佬的教学视频进行了自学。到现在算是入了门吧，不再是小白一个了。
回到开始，这个链接看域名信息很明显是个假域名，冒充腾讯的域名，并且qq登录界面太假，连个忘记密码都没有，只有两个输入框。
我立马通过https://www.shodan.io对其进行了扫描，发现其ip是香港的，对其进行了大量的扫描都没有发现一些很明显的漏洞，可能我太菜了，毕竟我也是刚入门的小白，不过我在扫描过程中发现它是windows电脑，使用的PHP是5.4.45版本的，联想到之前好像有个关于这个漏洞，我上网查了一下，找到了它是PHPstudy的一个后门漏洞，在网上有关于此漏洞的详细介绍及利用。

https://www.cnblogs.com/0daybug/p/11647075.html
这是PHP5.4.45漏洞后门的复现
https://blog.csdn.net/qq_45521281/article/details/105926151
上方为更加详细的介绍

这个网站只是可能存在这个漏洞，我们还是需要试验一下的，根据上面链接的解释成功了。

下面是后门影响的版本：
phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45
phpStudy2016路径
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路径
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl

这下我就发现这个后门直接是管理员的账号，自己接着创了个新账号，远程连接了一下，成功进入对方后台。具体攻击细节就不展示了。
根据连接，需要进行抓包，还要base64编码cmd命令，每次都得这样太麻烦，当然上面给出了一个用python编写的poc，如果电脑没有python的话还得下，而且我觉得使用这个不太方便。
正好最近在学习mfc，我就在想能不能使用mfc做一个专门针对此漏洞的简易的渗透工具。于是我用了差不多一个星期的时间做出了这个程序。先在本地搭建了一个有此漏洞的PHPstudy，进行工具测试。