phpstudy

下载xdebug 注：phpstudy有自带xdebug 下载链接 修改PHP.ini如下 [xDebug] xdebug.profiler_append = 0 xdebug.profiler_enable = 1 xdebug.profiler_enable_trigger = 0 xdebug.profiler_output_dir ="D:\phpStudy\tmp\xdebug" xdebug.trace_output_dir ="D:\phpStudy\tmp\xdebug" xdebug.profiler_output_name = "cache.out.%t-%s" xdebug.remote_enable = 1 xdebug.remote_handler = "dbgp" xdebug.remote_host = "127.0.0.1" zend_extension="D:\phpStudy\php53n\ext\xdebug.dll" xdebug.idekey= PHPSTROM 设置服务器 设置debug浏览器 测试一下我们的输出结果 看到程序断在了断点处并且debuger输出了接收到的值。 完成任务，祝大家debug愉快 来源： oschina 链接： https://my.oschina.net/u/2654135/blog/909953

前段时间phpstudy被人发现某些版本存在后门，许多人就这样被当作肉鸡长达两年之久 后门隐藏在程序自带的php的php_xmlrpc.dll模块 影响的版本：phpstudy2016和2018 在H:\PhpStudy20180211\PHPTutorial\php\php-5.2.17\ext找到php_xmlrpc.dll 用notepad++打开，ctrl+f搜索eval 说明这个版本的phpstudy是由后门的 用firefox访问本地ip，用bp抓包，用ctrl+r送到repeater 找到accept-encoding，把逗号后面的空格删掉，deflate后面回车换行，加上accept-charset：c3lzdGVtKCdpcGNvbmZpZycpIDs=，然后go （这是system(‘ipconfig’) ;的base64加密） 漏洞复现成功 加system(‘path’) ;（分号前面有空格） 安全问题不容小觑啊 来源： https://www.cnblogs.com/0daybug/p/11647091.html

phpStudy后门漏洞利用复现 一、漏洞描述 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包，通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer 多款软件一次性安装，无需配置即可直接安装使用，具有PHP环境调试和PHP开发功能，在国内有着近百万PHP语言学习者、开发者用户。 正是这样一款公益性软件，2018年12月4日，西湖区公安分局网警大队接报案称，某公司发现公司内有20余台计算机被执行危险命令，疑似远程控制抓取账号密码等计算机数据 回传大量敏感信 二、漏洞影响版本 phpStudy2016 php\php-5.2.17\ext\php_xmlrpc.dll php\php-5.4.45\ext\php_xmlrpc.dll phpStudy2018 PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll 三、漏洞复现 1、复现环境win7+phpStudy 2016(php-5.4.45+Apache) 　　 2、检查是否引用了php_xmlrpc.dll文件(只要引用了该文件，恶意代码就可以触发) 2.1通过phpinfo下查看 　　 2.2通过php.ini配置文件查看 　　 3

在p牛博客最近更新的文章， 传送门 ，感觉很有意思，自己在自己本地测试了一下 0x01 正则表达式中的 ‘$’ apache这次解析漏洞的根本原因就是这个 $ ，正则表达式中，我们都知道$用来匹配字符串结尾位置，我们来看看 菜鸟教程 中对正则表达符 $ 的解释： 匹配输入字符串的结尾位置。如果设置了 RegExp 对象的 Multiline 属性，则 $ 也匹配 ‘\n’ 或 ‘\r’。要匹配 $ 字符本身，请使用 \$。 那么就明白了，在设置了 RegExp 对象的 Multiline 属性的条件下， $ 还会匹配到字符串结尾的换行符 0x02 Linux环境 这里本地是debian系的kali linux，apache配置文件路径在 /etc/apache2/ 下， apache2.conf 是apache核心配置文件，由于我本地php作为apache的mod方式运行的，所以需要在 mods-enabled 目录下找到关于apache-php模块的配置： 可以看见php7.0.conf是 mods-available/php7.0.conf 的软链接，配置如下： <FilesMatch ".+\.ph(p[3457]?|t|tml)$"> SetHandler application/x-httpd-php </FilesMatch> <FilesMatch ".+\.phps

在phpstudy下载下来以后路径，设置没有修改的情况下可以使用此方法 url：http://ip/phpmyadmin 用户名：root 密码：root 登入管理界面 变量--> general log 参数改为on general log file参数改为网页根目录下新建一个php文件(D:\phpStudy\PHPTutorial\WWW\login.php ) SQL插入一句话木马 菜刀连接获取控制权 来源： https://www.cnblogs.com/0daybug/p/11605930.html

前段时间phpstudy被人发现某些版本存在后门，许多人就这样被当作肉鸡长达两年之久 后门隐藏在程序自带的 php 的 php_xmlrpc.dll 模块 影响的版本： phpstudy2016 和 2018 在 H:\PhpStudy20180211\PHPTutorial\php\php-5.2.17\ext 找到 php_xmlrpc.dll 用 notepad++ 打开， ctrl+f 搜索 eval 说明这个版本的 phpstudy 是由后门的 用 firefox 访问本地 ip ，用 bp 抓包，用 ctrl+r 送到 repeater 找到 accept-encoding ，把逗号后面的空格删掉， deflate 后面回车换行，加上 accept-charset ： c3lzdGVtKCdpcGNvbmZpZycpIDs= ，然后 go （这是 system(‘ipconfig’) ; 的 base64 加密） 漏洞复现成功 加 system(‘path’) ; （分号前面有空格） 安全问题不容小觑啊 来源： https://www.cnblogs.com/shayanboy/p/11605565.html

phpStudy于近日被暴露出有后门漏洞，之前的phpStudy2016，phpStudy2018部分版本，EXE程序包疑似被入侵者植入木马后门，导致许多网站及服务器被攻击，被篡改，目前我们SINE安全公司立即成立phpStudy安全应急响应小组，针对部分客户服务器上安装该PHP一键环境搭建的情况，进行了全面的漏洞修复与安全防护。第一时间保障客户的网站安全，以及服务器的安全稳定运行。关于该漏洞的详情，我们来安全分析一下，以及复现，漏洞修复，三个方面来入手。 国内大部分的服务器尤其windows系统，都有安装phpstudy一键环境搭建软件，该软件可以自动设置安装apache,php，mysql数据库，以及zend安装，并自动设置root账号密码，一键化操作，深受广大网站运营以及服务器维护者的喜欢，正因为使用的人较多，导致被攻击者盯上并植入木马后门到exe程序包中。 该后门文件是PHP环境当中的php_xmlrpc.dll模块被植入木马后门，具体的名称，经过我们SINE安全技术的安全检测，可以确定是phpstudy2016.11.03版本，以及phpstudy2018.02.11版本，后门文件如下： phpphp-5.2.17extphp_xmlrpc.dll phpphp-5.4.45extphp_xmlrpc.dll PHPTutorialphpphp-5.2.17extphp

如果你仅仅是想知道session保存的文件在哪里，你可以在你的PHP文件当中运行 函数: session_save_path 之后查看运行结果即可知道session文件的存放目录。 或者： 在php-ini的1584行的位置可以看到session.save_path=D:\phpStudy\tmp\tmp，这时你可以更改自己想要存放的路径，改好后就ctrl+s保存，如图 来源： https://www.cnblogs.com/laijinquan/p/11584798.html

PhpStudy2018后门漏洞预警及漏洞复现&检测和执行POC脚本 phpstudy介绍 Phpstudy是国内的一款免费的PHP调试环境的程序集成包，其通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOPtimizer不同版本软件于一身，一次性安装无需配置即可直接使用，具有PHP环境调试和PHP开发功能。由于其免费且方便的特性，在国内有着近百万的PHP语言学习者和开发者用户 后门事件 2018年12月4日，西湖区公安分局网警大队接报案，某公司发现公司内有20余台计算机被执行危险命令，疑似远程控制抓取账号密码等计算机数据回传大量敏感信息。通过专业技术溯源进行分析，查明了数据回传的信息种类、原理方法、存储位置，并聘请了第三方鉴定机构对软件中的“后门”进行司法鉴定，鉴定结果是该“后门”文件具有控制计算机的功能，嫌疑人已通过该后门远程控制下载运行脚本实现收集用户个人信息。在2019年9月20日，网上爆出phpstudy存在“后门”。作者随后发布了声明。 于是想起自己安装过phpstudy软件，赶紧查一下是否存在后门文件，结果一看真存在后门，学个PHP真是不容易，软件被别人偷偷安装了后门。 影响版本 目前已知受影响的phpstudy版本 phpstudy 2016版php-5.4 phpstudy 2018版php-5.2.17 phpstudy 2018版php

转：https://www.cnblogs.com/yuzly/p/11565997.html 一、事件背景 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包，通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装，无需配置即可直接安装使用，具有PHP环境调试和PHP开发功能，在国内有着近百万PHP语言学习者、开发者用户。 9月20日杭州公安微信公众账号发布了“杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果”的文章，文章里说明phpstudy存在“后门”。 二、影响版本 phpstudy 2016版PHP5.4存在后门(软件作者声明)。 实际实际测试官网下载phpstudy2018版php-5.2.17和php-5.4.45也同样存在后门 三、后门检测方法 1、看官网发表声明说只要从官网下载的都不存在漏洞(套路深~~~~~~~) 2、哎呀，吓得的我赶紧查一下自己的电脑从官网下载安装的phpstudy有没有后门。 通过分析，后门代码存在于\ext\php_xmlrpc.dll模块中 phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45 phpStudy2016路径 php\php-5.2.17\ext\php_xmlrpc.dll php\php-5.4