您的位置:首页 > 科技 > IT业 > 企业管理培训课程排行榜_个人简历表格电子版下载_成都关键词seo推广平台_网站seo入门基础教程

企业管理培训课程排行榜_个人简历表格电子版下载_成都关键词seo推广平台_网站seo入门基础教程

2024/12/22 23:14:44 来源:https://blog.csdn.net/qq_44870829/article/details/142700803  浏览:    关键词:企业管理培训课程排行榜_个人简历表格电子版下载_成都关键词seo推广平台_网站seo入门基础教程
企业管理培训课程排行榜_个人简历表格电子版下载_成都关键词seo推广平台_网站seo入门基础教程

PhpStudy-PHP5.4.45后门漏洞应用程序(C++/base64/winhttp)

  • 前言
  • 引言(时间回到多年前)
  • PhpShellCmd.exe
    • 使用介绍:
      • (1)输入网址检测是否存在PHP/5.4.45
      • (2)whoami
      • (3)net user查看账户
    • 调用库
  • 资源链接(含源码)

前言

  翻到了多年前写的一篇文章,那时我成功渗透了一台钓鱼网站,想着要不凭此进入网络安全领域吧,奈何当时关于白帽子的“渗透测试”行为有很多争议,即未经授权的渗透测试就是犯罪,有些免费帮企业找漏洞的白帽子被抓了,要想在这一行有所精进就必须经过大量的实战,而像我这种技术水平不高的“初学者”最容易落下把柄了,哈哈最后经过深思熟虑还是脱离这一领域回归老本行了。

引言(时间回到多年前)

  首先声明一下我是个初学者。
  事情的起因是这样的,在假期的时候,有个学校qq群里,有人发了个链接,说是学校要求必须打开,我瞬间感到了不对劲。
  因为我在小白的时候,也是有个群,有人在里面发了个链接说是校领导要求的有任务,当时太年轻,我打开了链接,是个QQ登录界面,也没多想,就登了进去。而且还问同学看没看到,同学也登了,结果里面什么也没有,是个空界面。心想会不会是因为网站有啥问题所以登不上去,唉,还是太年轻。到了中午发现同学的账号被盗了之后才明白这是个钓鱼网站。从那时起我就发奋学习有关网络渗透的一些知识,当然那时离现在也就不到两年的时间,当时也是没有太多时间来学习渗透,只是渐渐的对这一方面有了些了解,在网上找了一些大佬的教学视频进行了自学。到现在算是入了门吧,不再是小白一个了。
  回到开始,这个链接看域名信息很明显是个假域名,冒充腾讯的域名,并且qq登录界面太假,连个忘记密码都没有,只有两个输入框。
  我立马通过https://www.shodan.io对其进行了扫描,发现其ip是香港的,对其进行了大量的扫描都没有发现一些很明显的漏洞,可能我太菜了,毕竟我也是刚入门的小白,不过我在扫描过程中发现它是windows电脑,使用的PHP是5.4.45版本的,联想到之前好像有个关于这个漏洞,我上网查了一下,找到了它是PHPstudy的一个后门漏洞,在网上有关于此漏洞的详细介绍及利用。

https://www.cnblogs.com/0daybug/p/11647075.html
这是PHP5.4.45漏洞后门的复现
https://blog.csdn.net/qq_45521281/article/details/105926151
上方为更加详细的介绍

这个网站只是可能存在这个漏洞,我们还是需要试验一下的,根据上面链接的解释成功了。

下面是后门影响的版本:
phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45
phpStudy2016路径
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路径
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl

  这下我就发现这个后门直接是管理员的账号,自己接着创了个新账号,远程连接了一下,成功进入对方后台。具体攻击细节就不展示了。
  根据连接,需要进行抓包,还要base64编码cmd命令,每次都得这样太麻烦,当然上面给出了一个用python编写的poc,如果电脑没有python的话还得下,而且我觉得使用这个不太方便。
  正好最近在学习mfc,我就在想能不能使用mfc做一个专门针对此漏洞的简易的渗透工具。于是我用了差不多一个星期的时间做出了这个程序。先在本地搭建了一个有此漏洞的PHPstudy,进行工具测试。

PhpShellCmd.exe

使用介绍:

(1)输入网址检测是否存在PHP/5.4.45

  在地址栏输入网站地址,这里是本地搭建的地址,点击检测,可以看到响应头,在这里的server中有win32和PHP/5.4.45说明使用的windows电脑,可能用的PHPstudy搭建的,版本又是PHP/5.4.45很有可能存在PHPstudy后门漏洞。
在这里插入图片描述

(2)whoami

  当地址栏有地址后,在cmd栏输入cmd命令就能返回对方电脑的一些结果如下,先查看本地账号是什么。在cmd输入whoami,点击攻击,就返回对方电脑账号了。在第一行所示,因为本地搭建,我将账号遮掩了一下。
在这里插入图片描述

(3)net user查看账户

  如果是管理员账号,我们就可以进行net user admin 123 add/等进行添加账号操作,进行远程连接了。
下面我们可以查看本地用户有哪些,如下
在这里插入图片描述

调用库

实际上是使用C++实现的,攻击原理和python是一样的,这里用C++将其实现了

使用VS2013进行的
调用的库有base64 winhttp组件

下方引入的库主要是用于base64的类的编码的实现

实际的发送数据包等是通过winhttp组件进行的,可以更改数据包中的各个数据
在这里插入图片描述

注意这里的base64是使用程序直接编写的,直接引入的类如下,相关文件
在这里插入图片描述

资源链接(含源码)

https://github.com/zhaocaijinbao-max/PhpStudyShell
release下的exe可以直接下载使用
在这里插入图片描述

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com