AST语义分析工具在PHP代码审计中的应用<\/h1>

1. 工具概述<\/h2>
这是一个基于AST(抽象语法树)语义分析的PHP静态代码审计工具，主要用于检测PHP应用中的安全漏洞。该工具的核心功能是查找恶意函数调用链，类似于Kunlun-M的反序列化链插件查找功能，但作者选择自行设计实现而非二次开发。<\/p>

2. 核心功能<\/h2>

2.1 恶意函数调用链检测<\/h3>

支持检测深度≤3的调用链<\/li>
可扩展至深度4的调用链分析<\/li>

能够识别多种漏洞模式：

任意文件读取链<\/li>
文件写入链<\/li>

潜在的反序列化漏洞(计划中)<\/li> <\/ul> <\/li> <\/ul>

2.2 漏洞检测能力<\/h3>

当前版本已实现：<\/p>

任意文件读取漏洞检测<\/li>
文件写入漏洞检测<\/li>

组合漏洞检测(如链4和链9组合可造成文件写入)<\/li> <\/ol>

3. 技术原理<\/h2>

3.1 AST语义分析<\/h3>

通过解析PHP代码生成抽象语法树<\/li>
分析函数调用关系和数据流向<\/li>

追踪敏感函数的调用路径<\/li> <\/ul>

3.2 调用链分析<\/h3>

从入口点开始追踪函数调用<\/li>
记录调用路径和参数传递<\/li>

识别危险函数的调用链<\/li> <\/ul>

4. 实战案例：某duSoho v23.4.4漏洞分析<\/h2>

4.1 环境搭建<\/h3>

安装URL: http:\/\/192.168.91.1:8089\/install.install.php<\/code><\/li>

登录URL: http:\/\/192.168.91.1:8089\/app.php\/login<\/code><\/li>
<\/ol>
4.2 任意文件读取漏洞<\/h3>
漏洞位置<\/strong>: \/app.php\/admin\/article\/createFromUrl<\/code><\/p>
利用方式<\/strong>:<\/p>
GET<\/span> \/app.php\/admin\/article\/createFromUrl?url=D:\/1.txt HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Host:<\/span> 192.168.91.1:8089<\/span>
<\/span><\/span>[...其他请求头...]<\/span>
<\/span><\/span><\/code><\/pre>技术细节<\/strong>:<\/p>

使用file_get_contents<\/code>函数<\/li>
支持phar协议(但需phar.readonly = off<\/code>)<\/li>
默认配置下仅能进行文件读取<\/li>
<\/ul>
4.3 文件写入漏洞<\/h3>
漏洞链<\/strong>:<\/p>

paymentAction<\/code>调用updateWeixinMpFile<\/code><\/li>
最终调用file_put_contents<\/code><\/li>
<\/ol>
利用条件<\/strong>:<\/p>

目标文件windid_client_config.php<\/code>默认不存在<\/li>
文件名和内容部分可控<\/li>
<\/ul>
利用限制<\/strong>:<\/p>

写入位置不在web目录<\/li>
需要结合截断技术(但截断后无法写入内容)<\/li>
<\/ul>
5. 工具开发路线<\/h2>


当前阶段：<\/p>

基础调用链检测功能<\/li>
高误报率(待优化)<\/li>
<\/ul>
<\/li>

未来计划：<\/p>

减少误报<\/li>
添加反序列化漏洞检测<\/li>
完善文档后开源<\/li>
<\/ul>
<\/li>
<\/ol>
6. 防御建议<\/h2>
针对检测到的漏洞类型：<\/p>


任意文件读取：<\/p>

限制文件读取路径<\/li>
禁用危险协议(如phar)<\/li>
对用户输入进行严格过滤<\/li>
<\/ul>
<\/li>

文件写入：<\/p>

限制可写入目录<\/li>
检查文件名和内容合法性<\/li>
设置适当的文件权限<\/li>
<\/ul>
<\/li>
<\/ol>
7. 总结<\/h2>
该AST语义分析工具通过静态分析PHP代码的函数调用链，能够有效发现潜在的安全漏洞。案例中的某duSoho系统漏洞展示了工具的实际应用价值。随着功能的不断完善，该工具将成为PHP代码审计的有力助手。<\/p>
注意<\/strong>：该工具尚未正式开源，建议关注作者后续发布的使用文档和开源版本。<\/p>