PHP7 OPcache 代码执行漏洞分析与利用<\/h1>

0x00 OPcache 简介<\/h2>

OPcache 是 PHP 7.0 内置的缓存引擎，通过将 PHP 脚本编译为字节码并存储在内存中来提升性能。关键特性：<\/p>

缓存文件存储在文件系统中，路径由 opcache.file_cache<\/code> 配置指定<\/li>
缓存目录结构镜像 Web 目录结构<\/li>
缓存文件名格式为原文件名.bin<\/code><\/li>

每个缓存文件包含 system_id<\/code> 头信息，用于版本兼容性校验<\/li>
<\/ul>
0x01 漏洞利用原理<\/h2>
基本利用条件<\/h3>

目标服务器使用 PHP7 并启用 OPcache<\/li>
存在文件上传漏洞<\/li>
Web 目录不可写但 OPcache 缓存目录可写<\/li>
OPcache 配置满足以下至少一项：

opcache.validate_timestamp = 0<\/code>（PHP7 默认值为1）<\/li>
opcache.file_cache_only = 1<\/code>（PHP7 默认值为0）<\/li>
<\/ul>
<\/li>
<\/ol>
攻击步骤<\/h3>


收集信息<\/strong>：<\/p>

通过 phpinfo() 获取：

OPcache 缓存目录路径<\/li>
Web 目录路径<\/li>
计算 system_id 所需的 PHP 和 Zend 版本信息<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

生成恶意缓存文件<\/strong>：<\/p>
<?<\/span>php<\/span> system<\/span>($_GET['cmd'<\/span>]); ?><\/span>
<\/span><\/span><\/span><\/code><\/pre>
在本地配置相同 PHP 环境<\/li>
访问该文件生成缓存文件（如 index.php.bin）<\/li>
修改文件头中的 system_id 为目标系统的值<\/li>
<\/ul>
<\/li>

上传覆盖<\/strong>：<\/p>

将恶意缓存文件上传至目标缓存目录<\/li>
路径格式：\/tmp\/opcache\/[system_id]\/var\/www\/index.php.bin<\/code><\/li>
<\/ul>
<\/li>

触发执行<\/strong>：<\/p>

访问对应的 PHP 文件（如 \/var\/www\/index.php）<\/li>
恶意代码将被执行<\/li>
<\/ul>
<\/li>
<\/ol>
0x02 高级绕过技术<\/h2>
绕过内存缓存(file_cache_only = 0)<\/h3>
当内存缓存优先时，需要：<\/p>

等待服务器重启使内存缓存失效<\/li>
或寻找框架中不常用的旧文件（如 WordPress 的 registration-functions.php）

这些文件不会被主动加载，无内存缓存<\/li>
上传对应的恶意缓存文件后直接访问可触发<\/li>
<\/ul>
<\/li>
<\/ol>
绕过时间戳校验(validate_timestamps = 1)<\/h3>

针对框架中长时间未修改的文件（如 WordPress 某些 2012 年后未更新的文件）<\/li>
获取目标文件的准确时间戳<\/li>
修改恶意缓存文件中的时间戳（偏移量 34 字节处）与源文件匹配<\/li>
<\/ol>
0x03 防御措施<\/h2>


PHP 配置<\/strong>：<\/p>

保持 opcache.validate_timestamp = 1<\/code>（默认值）<\/li>
设置 opcache.file_cache_only = 0<\/code>（默认值）<\/li>
限制 OPcache 缓存目录权限<\/li>
<\/ul>
<\/li>

代码审计<\/strong>：<\/p>

严格检查文件上传功能<\/li>
移除不必要的旧文件<\/li>
<\/ul>
<\/li>

系统加固<\/strong>：<\/p>

确保 Web 目录和缓存目录的适当权限<\/li>
定期更新 PHP 版本<\/li>
<\/ul>
<\/li>
<\/ol>
0x04 技术细节补充<\/h2>
system_id 计算<\/h3>
system_id 是以下信息的 MD5 哈希：<\/p>

PHP 版本号<\/li>
Zend 扩展版本号<\/li>
各数据类型大小<\/li>
<\/ul>
可通过 phpinfo() 获取必要信息后计算得出。<\/p>
缓存文件结构<\/h3>

文件头部包含签名和 system_id<\/li>
时间戳位于偏移量 34 字节处<\/li>
文件内容为编译后的字节码<\/li>
<\/ol>
环境要求<\/h3>

PHP 7.0 及以上版本<\/li>
OPcache 扩展启用<\/li>
缓存目录可写（通常 www-data 用户有权限）<\/li>
<\/ul>
总结<\/h2>
OPcache 的代码执行漏洞展示了即使在没有 Web 目录写权限的情况下，攻击者仍可能通过缓存机制实现代码执行。这种攻击方式特别针对 PHP7 环境，强调了安全配置和权限控制的重要性。防御的关键在于合理的 OPcache 配置、严格的权限管理和及时清理不必要的旧文件。<\/p>