SCTF 2021 FUMO_on_the_Christmas_tree 解题分析与AST遍历技术教学<\/h1>

1. 题目背景与概述<\/h2>
题目提供了一个14万行的PHP文件，主要考察通过静态分析技术（特别是AST遍历）来寻找从source（`__destruct<\/code>函数）到sink（readfile<\/code>函数）的利用路径。<\/p>`

2. 关键概念解析<\/h2>
2.1 Source与Sink<\/h3>

Source<\/strong>: 漏洞利用的起点，本题中是__destruct<\/code>魔术方法<\/li>
Sink<\/strong>: 危险函数调用点，本题中是readfile<\/code>函数<\/li>
<\/ul>
2.2 AST (抽象语法树)<\/h3>
AST是源代码的树状表示，便于程序分析和转换。在PHP中，AST节点类型包括：<\/p>

FunctionCall（函数调用）<\/li>
ClassMethod（类方法）<\/li>
其他表达式和语句节点<\/li>
<\/ul>
3. 静态分析技术详解<\/h2>
3.1 Call Graph构建<\/h3>
3.1.1 直接调用分析<\/h4>
@<\/span>$this-><\/span>QsIFY2PS<\/span>-><\/span>xly0ZQT<\/span>($Q0CGxlEy);
<\/span><\/span><\/code><\/pre>分析步骤：<\/p>

查找方法名为xly0ZQT<\/code>的ClassMethod节点<\/li>
从当前ClassMethod创建call边指向目标方法<\/li>
<\/ol>
3.1.2 __call<\/code>魔术方法处理<\/h4>
当找不到直接方法时（如@$this->oS9D89Gt->Ws2xymT($NOCGzO)<\/code>），需要通过__call<\/code>分析：<\/p>

识别__call<\/code>中的extract<\/code>和call_user_func<\/code>调用<\/li>
提取extract<\/code>中的硬编码字符串作为目标方法名<\/li>
<\/ol>
3.1.3 __invoke<\/code>魔术方法处理<\/h4>
对于@call_user_func($this->WHB5xkK7, ['LUlnpp' => $RwGAFc8G])<\/code>这类调用：<\/p>

检查类是否实现了__invoke<\/code>方法<\/li>
验证base64_decode<\/code>参数是否匹配call_user_func<\/code>参数的base64编码值<\/li>
<\/ol>
3.2 污点传播分析<\/h3>
3.2.1 变量状态跟踪<\/h4>
为每个方法创建变量状态Map，跟踪变量是否可控：<\/p>

参数传入<\/strong>：默认标记为可控 变量状态[参数名] = true<\/code><\/li>
赋值操作<\/strong>：

$b = foo($a)<\/code>：若foo<\/code>是sanitizer函数，则变量状态[b] = false<\/code><\/li>
$b = $a<\/code>：直接继承状态 变量状态[b] = 变量状态[a]<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
3.2.2 Sanitizer函数识别<\/h4>
本题中的sanitizer函数包括：<\/p>

crypt<\/code><\/li>
md5<\/code><\/li>
sha1<\/code><\/li>
base64_encode<\/code>（需配合base64_decode<\/code>计数器使用）<\/li>
<\/ul>
4. 解题实现步骤<\/h2>
4.1 工具选择<\/h3>
使用github.com\/VKCOM\/php-parser<\/code>解析PHP8代码，基于Go语言编写分析工具：<\/p>

优势：处理大规模代码效率高<\/li>
替代方案：CodeQL（但原生不支持PHP）<\/li>
<\/ul>
4.2 分析流程<\/h3>

解析PHP生成AST<\/li>
遍历AST识别所有ClassMethod节点<\/li>
构建Call Graph：

处理直接调用<\/li>
处理__call<\/code>和__invoke<\/code>魔术方法<\/li>
<\/ul>
<\/li>
执行污点传播分析<\/li>
查找从__destruct<\/code>到readfile<\/code>的可达路径<\/li>
<\/ol>
4.3 关键代码逻辑<\/h3>
\/\/ 伪代码示例
<\/span><\/span><\/span><\/span>func<\/span> buildCallGraph<\/span>(astNode<\/span>) {
<\/span><\/span>    switch<\/span> node<\/span> :=<\/span> astNode<\/span>.(type<\/span>) {
<\/span><\/span>    case<\/span> *<\/span>php<\/span>.FunctionCall<\/span>:
<\/span><\/span>        if<\/span> isMethodCall<\/span>(node<\/span>) {
<\/span><\/span>            \/\/ 处理直接方法调用
<\/span><\/span><\/span><\/span>            resolveDirectCall<\/span>(node<\/span>)
<\/span><\/span>        } else<\/span> if<\/span> isCallUserFunc<\/span>(node<\/span>) {
<\/span><\/span>            \/\/ 处理call_user_func
<\/span><\/span><\/span><\/span>            resolveCallUserFunc<\/span>(node<\/span>)
<\/span><\/span>        }
<\/span><\/span>    \/\/ 其他节点处理...
<\/span><\/span><\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span>
<\/span><\/span>func<\/span> taintAnalysis<\/span>(methodNode<\/span>) {
<\/span><\/span>    \/\/ 初始化变量状态
<\/span><\/span><\/span><\/span>    state<\/span> :=<\/span> make(map<\/span>[string<\/span>]bool<\/span>)
<\/span><\/span>    
<\/span><\/span>    \/\/ 标记参数为可控
<\/span><\/span><\/span><\/span>    for<\/span> _<\/span>, param<\/span> :=<\/span> range<\/span> methodNode<\/span>.Params<\/span> {
<\/span><\/span>        state<\/span>[param<\/span>.Name<\/span>] = true<\/span>
<\/span><\/span>    }
<\/span><\/span>    
<\/span><\/span>    \/\/ 遍历方法体语句
<\/span><\/span><\/span><\/span>    for<\/span> _<\/span>, stmt<\/span> :=<\/span> range<\/span> methodNode<\/span>.Stmts<\/span> {
<\/span><\/span>        \/\/ 处理赋值和函数调用
<\/span><\/span><\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>5. 高级技巧与优化<\/h2>
5.1 动态特性处理<\/h3>

对extract<\/code>和call_user_func<\/code>进行特殊处理<\/li>
跟踪变量名生成模式（如base64编码值）<\/li>
<\/ul>
5.2 路径优化<\/h3>

优先分析短调用链<\/li>
对sanitizer函数进行标记，提前终止不可行路径<\/li>
<\/ul>
5.3 误报消除<\/h3>

实现base64_encode<\/code>\/base64_decode<\/code>计数器平衡检测<\/li>
添加更多sanitizer函数识别<\/li>
<\/ul>
6. 总结与扩展<\/h2>
6.1 技术总结<\/h3>

AST遍历是静态分析的核心<\/li>
Call Graph构建需要考虑PHP特有的魔术方法<\/li>
污点传播需要精确跟踪变量状态<\/li>
<\/ol>
6.2 扩展应用<\/h3>

可应用于其他PHP代码审计场景<\/li>
技术可迁移至其他语言的静态分析工具开发<\/li>
结合动态分析提高准确性<\/li>
<\/ul>
6.3 改进方向<\/h3>

实现更精确的字符串分析<\/li>
添加类型推断减少误报<\/li>
支持更多PHP动态特性分析<\/li>
<\/ul>
附录：参考工具与资源<\/h2>

php-parser<\/a> - PHP8解析器<\/li>
解题工具源码<\/a><\/li>
CodeQL（虽然不支持PHP，但分析思路可借鉴）<\/li>
<\/ol>

SCTF 2021 FUMO_on_the_Christmas_tree 解题分析与AST遍历技术教学<\/h1>

1. 题目背景与概述<\/h2> 题目提供了一个14万行的PHP文件，主要考察通过静态分析技术（特别是AST遍历）来寻找从source（__destruct<\/code>函数）到sink（readfile<\/code>函数）的利用路径。<\/p>

3. 静态分析技术详解<\/h2>

3.1 Call Graph构建<\/h3>

3.2 污点传播分析<\/h3>

4. 解题实现步骤<\/h2>

5. 高级技巧与优化<\/h2>

6. 总结与扩展<\/h2>

附录：参考工具与资源<\/h2> php-parser<\/a> - PHP8解析器<\/li> 解题工具源码<\/a><\/li> CodeQL（虽然不支持PHP，但分析思路可借鉴）<\/li> <\/ol>

1. 题目背景与概述<\/h2>
题目提供了一个14万行的PHP文件，主要考察通过静态分析技术（特别是AST遍历）来寻找从source（`__destruct<\/code>函数）到sink（readfile<\/code>函数）的利用路径。<\/p>`

附录：参考工具与资源<\/h2>

php-parser<\/a> - PHP8解析器<\/li>
解题工具源码<\/a><\/li>
CodeQL（虽然不支持PHP，但分析思路可借鉴）<\/li> <\/ol>