PHP代码审计实战教学：Day1-4题解详解<\/h1>

前言<\/h2>
本教学文档基于红日安全团队的PHP-Audit-Labs项目中的Day1至Day4题目，详细解析了PHP代码审计中的关键漏洞点和利用技巧。这些题目涵盖了in_array函数缺陷、filter_var函数绕过、实例化任意对象漏洞以及strpos使用不当等常见安全问题。<\/p>

Day1：in_array函数缺陷与updatexml注入<\/h2>

漏洞分析<\/h3>

in_array函数弱类型比较绕过<\/strong>：<\/p>

代码将用户ID存储在$whitelist<\/code>数组中<\/li>
使用in_array<\/code>检查用户输入的id<\/code>参数是否在白名单中<\/li>
未使用严格模式（in_array<\/code>第三个参数未设为true<\/code>），导致类型混淆绕过<\/li> <\/ul> <\/li>
updatexml报错注入<\/strong>：<\/p> 注入点在updatexml<\/code>函数<\/li> 特殊字符或字母会导致报错，报错信息会显示特殊字符之后的内容<\/li> 常规方法使用concat(0x7e,(SELECT user()),0x7e)<\/code>进行拼接<\/li> <\/ul> <\/li> <\/ol> 绕过技巧<\/h3> in_array绕过<\/strong>：<\/p> 使用id=1'<\/code>即可绕过检查<\/li> <\/ul> <\/li> updatexml注入绕过<\/strong>：<\/p> 题目过滤了字符串拼接函数<\/li> 使用make_set<\/code>函数替代concat<\/code>： and<\/span> (select<\/span> updatexml(1<\/span>,make_set(3<\/span>,'~'<\/span>,(select<\/span> flag from<\/span> flag)),1<\/span>)) <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 关键点<\/h3> in_array<\/code>必须使用严格模式（第三个参数为true<\/code>）<\/li> 报错注入时确保数据以非数字开头<\/li> 当常规拼接函数被过滤时，寻找替代函数<\/li> <\/ul> Day2：filter_var函数绕过与命令执行<\/h2> 漏洞分析<\/h3> filter_var函数绕过<\/strong>：<\/p> 使用FILTER_VALIDATE_URL<\/code>过滤器验证URL<\/li> 多种方法可绕过此验证<\/li> <\/ul> <\/li> 命令执行<\/strong>：<\/p> 使用exec<\/code>执行curl<\/code>命令<\/li> 需要$site_info['host']<\/code>以sec-redclub.com<\/code>结尾<\/li> <\/ul> <\/li> <\/ol> 绕过方法<\/h3> filter_var绕过payload<\/strong>：<\/p> http:\/\/demo.com@sec-redclub.com http:\/\/demo.com&sec-redclub.com http:\/\/demo.com?sec-redclub.com http:\/\/demo.com\/sec-redclub.com demo:\/\/demo.com,sec-redclub.com demo:\/\/demo.com:80;sec-redclub.com:80\/ http:\/\/demo.com#sec-redclub.com (#需编码为%23) <\/code><\/pre> <\/li> 命令执行payload<\/strong>：<\/p> demo:\/\/";ls;#;sec-redclub.com:80\/ demo:\/\/";cat<f1agi3hEre.php;#;sec-redclub.com:80\/ <\/code><\/pre> <\/li> <\/ol> 关键点<\/h3> filter_var<\/code>的URL验证可被多种方式绕过<\/li> 命令执行时使用<<\/code>代替空格绕过过滤<\/li> 注意URL编码特殊字符<\/li> <\/ul> Day3：实例化任意对象与XXE漏洞<\/h2> 漏洞分析<\/h3> 任意类实例化<\/strong>：<\/p> 使用class_exists<\/code>检查类是否存在<\/li> 不存在时调用__autoload<\/code>或注册的自动加载函数<\/li> <\/ul> <\/li> XXE漏洞<\/strong>：<\/p> 利用PHP内置类SimpleXMLElement<\/code><\/li> 结合PHP流读取文件内容<\/li> <\/ul> <\/li> <\/ol> 利用方法<\/h3> 搜索flag文件<\/strong>：<\/p> 使用GlobIterator<\/code>类： ?name=GlobIterator&param=.\/*.php&param2=0 <\/code><\/pre> <\/li> <\/ul> <\/li> 读取文件内容<\/strong>：<\/p> 使用SimpleXMLElement<\/code>配合PHP流： ?name=SimpleXMLElement&param=<?xml version="1.0"?><!DOCTYPE ANY [<!ENTITY xxe SYSTEM "php:\/\/filter\/read=convert.base64-encode\/resource=\/var\/www\/html\/CTF\/f1agi3hEre.php">]><x>&xxe;<\/x>&param2=2 <\/code><\/pre> <\/li> <\/ul> <\/li> <\/ol> 关键点<\/h3> 利用PHP内置类进行文件操作<\/li> 使用base64编码绕过XML特殊字符限制<\/li> param2=2<\/code>对应LIBXML_NOENT<\/code>模式，允许实体解析<\/li> <\/ul> Day4：弱类型比较漏洞<\/h2> 漏洞分析<\/h3> 弱类型比较<\/strong>：<\/p> 使用==<\/code>比较用户输入和随机数<\/li> 可被数组和布尔值绕过<\/li> <\/ul> <\/li> 利用方法<\/strong>：<\/p> 提交包含7个true<\/code>元素的数组<\/li> 只要随机数不含0，比较结果即为真<\/li> <\/ul> <\/li> <\/ol> 关键点<\/h3> 永远使用===<\/code>进行严格比较<\/li> JSON格式输入可传递数组和布尔值<\/li> 数字与true<\/code>比较时，除0外都为真<\/li> <\/ul> 总结<\/h2> 函数使用注意事项<\/strong>：<\/p> in_array<\/code>必须使用严格模式<\/li> filter_var<\/code>验证可被绕过，需额外验证<\/li> 避免使用==<\/code>，始终使用===<\/code><\/li> <\/ul> <\/li> 安全编码实践<\/strong>：<\/p> 对用户输入进行严格过滤和验证<\/li> 使用参数化查询防止SQL注入<\/li> 禁用危险函数如exec<\/code>、system<\/code>等<\/li> <\/ul> <\/li> 审计技巧<\/strong>：<\/p> 关注输入验证和过滤逻辑<\/li> 寻找替代函数绕过过滤<\/li> 利用PHP特性和内置类进行漏洞利用<\/li> <\/ul> <\/li> <\/ol> 通过这四天的题目，我们学习了PHP代码审计中的多种漏洞类型和利用技巧，这些知识对于提高代码安全意识和审计能力至关重要。<\/p>