9月20号爆出Phpstudy存在隐藏后门，简单复现下后门效果

该文章仅供学习，利用方法来自网络文章，仅供参考

目标机：win7系统，安装phpstudy 2018版,php版本5.2或php 5.4

目标ip：192.168.20.131

被爆出存在后门的文件在php环境包下的5.2和5.4版本里都有，文件名为php_xmlrpc.dll

1，启动phpstudy，打开apache服务，php环境选择为5.2或5.4,php.ini配置文件需要引用eval所在文件，可以直接看配置文件，也可以phpinfo下查看，只要引用了该文件，恶意代码就可以触发

2，打开浏览器，设置好代理，打开BP进行抓包

3，将抓到的请求包，发送到repeater重放模块中

4，将请求包的报头Accept-Encoding信息上的deflate前边的空格去掉，添加头信息，Accept-Charset:，Accept-Charset 请求头用来告知(服务器)客户端可以处理的字符集类型

5，利用BP自带的Decoder编码模块，将system();函数进行Base64转码，括号里面填自己想要填写的任何windows命令都行，如system('ipconfig');  system('whoami'); 将编码之后的状态，粘贴到添加的Accept-Charset:头信息上，点击Send，神奇的事情就发生了，会发现命令会被正确的执行

6，总结

phpstudy是一款简单好用的搭建web服务php环境的一键式搭配工具，使用者不少，请广大使用该工具的站长尽快升级版本，phpstudy官网已经更新，请替换掉php_xmlrpc.dell，还可以下载phpstudy自动检测修复工具进行修复，尽量切换php的新版本避免被不法分子侵害造成损失