PHP代码审计实战教学：Day1-4题解详解<\/h1>

前言<\/h2>
本教学文档基于红日安全团队的PHP-Audit-Labs项目中的Day1至Day4题目，详细解析了每道题目的漏洞原理、利用方法和解题思路。这些题目涵盖了PHP中常见的函数缺陷和安全问题，包括in_array函数绕过、filter_var函数绕过、任意对象实例化漏洞以及strpos使用不当引发的安全问题。<\/p>

Day1：in_array函数缺陷与updatexml注入<\/h2>

漏洞分析<\/h3>

in_array函数绕过<\/strong>：<\/p>

题目中使用了in_array()<\/code>函数检查用户输入的id是否在白名单数组中<\/li>
关键缺陷：没有使用严格模式（第三个参数未设置为true）<\/li>
绕过方法：id=1'<\/code>可以绕过检查，因为PHP会进行类型转换<\/li> <\/ul> <\/li>
updatexml注入<\/strong>：<\/p> 题目过滤了字符串拼接函数（如concat）<\/li> updatexml特性：当存在特殊字符或字母时，会报错并显示特殊字符后的内容<\/li> 数字开头的数据只会显示字母部分（如"7701HongRi"只显示"HongRi"）<\/li> <\/ul> <\/li> <\/ol> 利用方法<\/h3> Payload<\/strong>：<\/p> http:\/\/localhost\/index.php?id=4 and (select updatexml(1,make_set(3,'~',(select flag from flag)),1)) <\/code><\/pre> 使用make_set<\/code>函数替代被过滤的concat<\/code>函数<\/li> 在查询数据前添加特殊字符'~'，确保数据以非数字开头<\/li> <\/ul> 关键点总结<\/h3> in_array<\/code>必须使用严格模式（第三个参数true）防止类型转换问题<\/li> updatexml注入需要确保数据以非数字开头才能完整显示<\/li> 当常用字符串拼接函数被过滤时，可寻找替代函数如make_set<\/code><\/li> <\/ul> Day2：filter_var函数缺陷与命令执行<\/h2> 漏洞分析<\/h3> filter_var绕过<\/strong>：<\/p> 题目使用filter_var($url, FILTER_VALIDATE_URL)<\/code>验证URL<\/li> 需要URL以"sec-redclub.com"结尾才能执行exec函数<\/li> parse_url<\/code>函数解析URL可能存在解析差异<\/li> <\/ul> <\/li> 命令执行<\/strong>：<\/p> 通过构造特殊URL绕过filter_var验证<\/li> 最终目标是执行系统命令读取flag文件<\/li> <\/ul> <\/li> <\/ol> 绕过方法<\/h3> filter_var绕过Payload示例<\/strong>：<\/p> http:\/\/localhost\/index.php?url=demo:\/\/%22;ls;%23;sec-redclub.com:80\/ http:\/\/localhost\/index.php?url=demo:\/\/%22;cat<f1agi3hEre.php;%23;sec-redclub.com:80\/ <\/code><\/pre> 使用分号分隔命令<\/li> 用<<\/code>代替空格绕过过滤<\/li> URL编码特殊字符（如#编码为%23）<\/li> <\/ul> 关键点总结<\/h3> filter_var的FILTER_VALIDATE_URL过滤器有多种绕过方式<\/li> parse_url函数解析URL可能与浏览器解析方式不同<\/li> 命令执行时可用多种方式绕过空格限制（如<、${IFS}等）<\/li> <\/ul> Day3：任意对象实例化与XXE漏洞<\/h2> 漏洞分析<\/h3> 任意对象实例化<\/strong>：<\/p> 通过class_exists<\/code>和spl_autoload_register<\/code>机制<\/li> 可利用PHP内置类进行文件操作<\/li> <\/ul> <\/li> XXE漏洞<\/strong>：<\/p> 通过SimpleXMLElement类加载外部实体<\/li> 结合PHP伪协议读取文件内容<\/li> <\/ul> <\/li> <\/ol> 利用方法<\/h3> 步骤1：查找flag文件<\/strong>：<\/p> http:\/\/localhost\/CTF\/index.php?name=GlobIterator&param=.\/*.php&param2=0 <\/code><\/pre> 使用GlobIterator类搜索当前目录下所有.php文件<\/li> param2=0表示使用FilesystemIterator::CURRENT_AS_FILEINFO模式<\/li> <\/ul> 步骤2：读取flag文件内容<\/strong>：<\/p> http:\/\/localhost\/CTF\/index.php?name=SimpleXMLElement&param=<?xml version="1.0"?><!DOCTYPE ANY [<!ENTITY xxe SYSTEM "php:\/\/filter\/read=convert.base64-encode\/resource=\/var\/www\/html\/CTF\/f1agi3hEre.php">]><x>&xxe;<\/x>&param2=2 <\/code><\/pre> 使用SimpleXMLElement类<\/li> 通过php:\/\/filter伪协议base64编码读取文件内容<\/li> param2=2表示LIBXML_NOENT模式，允许实体替换<\/li> <\/ul> 关键点总结<\/h3> PHP内置类如GlobIterator、SimpleXMLElement可被利用进行文件操作<\/li> XXE漏洞可通过PHP伪协议绕过特殊字符限制<\/li> 文件内容使用base64编码可避免XML解析问题<\/li> <\/ul> Day4：松散比较与逻辑漏洞<\/h2> 漏洞分析<\/h3> 松散比较问题<\/strong>：<\/p> 题目使用==<\/code>比较用户输入与随机生成的数字<\/li> ==<\/code>只比较值不比较类型，会进行类型转换<\/li> 在PHP中，true与任何非零数字比较都为true<\/li> <\/ul> <\/li> 逻辑漏洞利用<\/strong>：<\/p> 通过发送包含7个true的数组绕过每位数字比较<\/li> 只要随机数不包含0，比较结果都为true<\/li> <\/ul> <\/li> <\/ol> 利用方法<\/h3> Payload构造<\/strong>：<\/p> 提交JSON格式数据：[true, true, true, true, true, true, true]<\/code><\/li> 每次比较都会返回true，获得最高奖励<\/li> <\/ul> 关键点总结<\/h3> PHP松散比较(==<\/code>)会引发类型转换问题<\/li> 布尔值true与数字比较的特殊性<\/li> 数组提交方式可绕过逐位数字比较<\/li> 替代解法：暴力注册多次购买彩票（非预期解）<\/li> <\/ul> 总结与防御建议<\/h2> 函数使用规范<\/strong>：<\/p> in_array<\/code>必须使用严格模式<\/li> filter_var<\/code>不能单独作为安全验证<\/li> 避免使用==<\/code>，应使用===<\/code>严格比较<\/li> <\/ul> <\/li> 安全编码实践<\/strong>：<\/p> 对用户输入进行严格过滤和类型检查<\/li> 禁用危险函数如exec、system等<\/li> 禁止外部实体加载防止XXE攻击<\/li> <\/ul> <\/li> 防御措施<\/strong>：<\/p> 使用白名单而非黑名单过滤<\/li> 对文件操作进行权限限制<\/li> 关键操作添加验证码等二次验证<\/li> <\/ul> <\/li> <\/ol> 通过这四天的题目学习，可以掌握PHP中常见的安全问题和审计方法，这些知识在实际的代码审计和安全评估中都非常实用。<\/p>