PHP环境集成程序包phpStudy被公告疑似遭遇供应链攻击，程序包自带PHP的php_xmlrpc.dll模块隐藏有后门。经过分析除了有反向连接木马之外，还可以正向执行任意php代码。

PHPstudy 2018与2016两个版本的里的PHP5.2与PHP5.4版本里的恶意php_xmlrpc.dll一致。

根据@eval()这个代码执行函数定位到引用位置。@是PHP提供的错误信息屏蔽专用符号。Eval()可执行php代码，中间%s格式符为字符串传参。函数地址为：0x100031F0

图1：eval特征代码

通过F5查看代码，分析代码流程，判断条件是有全局变量且有HTTP_ACCEPT_ENCODING的时候进入内部语句。接下来有两个主要判断来做正向连接和反向连接的操作。主要有两个部分。

第一部分，正向连接：判断ACCEPT_ENCODING如果等于gzip,deflate，读取ACCEPT_CHARSE的内容做base64解密，交给zend_eval_strings()函数可以执行任意恶意代码。

构造HTTP头，把Accept-Encoding改成Accept-Encoding: gzip,deflate可以触发第一个部分。

第二部分，反向连接：判断ACCEPT_ENCODING如果等于compress,gzip，通过关键部分@eval(gzuncompress('%s'));可以看到拼接了一段恶意代码，然后调用gzuncompress方法执行解密。

构造HTTP头，把Accept-Encoding改成Accept-Encoding: compress,gzip可以触发第二部分。

图2：第1部分流程判断代码

图3：第2部分流程判断代码

这一部分有两处会执行zend_eval_strings函数代码的位置。分别是从1000D66C到1000E5C4的代码解密：

从1000D028 到1000D66C的代码解密：

OD动态调试传参值需要对httpd.exe进程进行附加调试，phpstudy启用的httpd进程有两个。一个是带有参数的，一个是没有带参数的。在下断的时候选择没有参数的httpd.exe下断才能触发后门。

根据前面IDA静态分析得到的后门函数地址，OD附加进程后从httpd.exe调用的模块里找到php_xmlrpc.dll模块，在DLL空间里定位后门函数地址0x100031F0，可能还需要手动修改偏移后下断点。使用burpsuite，构造Accept-Encoding的内容。发包后可以动态调试。建立触发点的虚拟机快照后可以反复跟踪调试得到最终可利用的payload。

图4：OD动态调试Payload

脚本一功能：使用fsockopen模拟GET发包

脚本二功能：
内置有域名表和端口表，批量遍历然后发送数据。注释如下：

熟悉原理后可根据执行流程构造执行任意代码的Payload：

Payload：printf(md5(333));
回显特征：310dcbbf4cce62f762a2aaa148d556bd

图5：Payload回显验证

漏洞插件采用长亭科技xray社区漏洞扫描器。虽然现今网络上好多放出来的批量poc，我还是觉得使用长亭的插件写poc，省了好多心力去考虑写各种代码，把主要精力专注到漏洞分析和写poc上。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课