PhpStudy“后门"文件php_xmlrpc.dll

来源:csdn博客 分类: 文章浏览史 发布时间:2023-06-20 23:19:33 最后更新:2023-06-20 浏览:356
转载声明:
本文为摘录自“csdn博客”,版权归原作者所有。
温馨提示:
为了更好的体验,请点击原文链接进行浏览
摘录时间:
2023-06-20 23:19:33

后门文件所在位置:

在PhpStudy2016和2018两个版本的phpStudy\php\php-5.4.45\ext\

解决方法:

用php-5.4.45-nts里的来替换即可!

php_xmlrpc.dll文件分析

通过查看该库文件的字符串,安全专家发现其包含了可疑的eval字符串。

该字符串所在的函数中通过调用PHP函数gzuncompress来解压相关shellcode数据。同时安全专家查看该文件的数据节区,也发现存在一些加密的字符串。

通过进一步的分析,该函数解压的shellcode是存放在C028到C66C区间内。

部分的shellcode硬编码。

Shellcode后门分析

安全专家对其shellocde进一步处理,先将相关数据dump到新的文件中,然后利用python格式化字符串,在php中利用gzuncompress函数解压。

解压后的shellcode如下图所示,是通过base64编码的脚本。

Base64解密后的脚本内容如下,链接后门进行GET请求。

事件追踪

通过对多个版本文件的分析,安全专家发现被篡改的后门主要出现在php-5.2.17和php-5.4.45版本中。

安全专家同样对没有被篡改的php_xmlrpc.dll文件进行分析,发现此文件中并没有eval等可疑的字符串调用。

正常文件

 

被篡改的文件

php技术微信