Web应用中加密解密参数若被恶意利用可导致PHP代码执行,主要途径包括:一、不安全反序列化绕过校验;二、解密内容拼接进动态函数名或变量名;三、解密内容写入缓存文件后包含执行;四、JSON解密后键名触发call_user_func_array;五、Base64解密后送入eval或create_function。
如果在Web应用中通过加密解密参数间接导致PHP代码被执行,则可能是由于不安全的反序列化、动态函数调用或eval类危险函数被可控输入触发。以下是几种可导致PHP代码执行的加密解密相关触发方法:
一、利用不安全的反序列化配合加密绕过校验
某些系统对传入的序列化数据进行AES或base64加密后传输,服务端解密后再反序列化;若解密密钥固定或可预测,攻击者可构造恶意序列化字符串并加密,使反序列化时触发__wakeup或__destruct中的危险操作。
1、使用PHP生成恶意序列化字符串,例如定义包含system()调用的类实例。
2、将该序列化字符串用与目标系统相同的密钥和算法(如openssl_encrypt)进行AES-128-CBC加密。
立即学习“PHP免费学习笔记(深入)”;
3、将加密结果(base64编码后)作为参数提交至存在unserialize()调用的接口。
4、服务端执行openssl_decrypt解密后直接传入unserialize(),触发魔术方法中的代码执行。
二、解密后拼接进动态函数名或变量名
部分代码将解密后的值用于构建函数名、类名或变量名,例如通过${$decrypted}或call_user_func($decrypted)等方式间接调用,若解密内容未过滤,可注入函数名如assert、system或shell_exec。
1、分析目标站点加密参数的加解密逻辑,确认是否使用固定密钥及可逆算法(如xor、base64、mcrypt_decrypt等)。
2、构造payload字符串,例如"system('id')"或"assert($_POST['x'])",并按相同逻辑加密。
3、将加密结果作为参数(如?data=...)发送请求。
4、服务端解密后将其赋值给变量或作为函数名调用,若未限制函数白名单且未过滤特殊字符,将直接执行PHP命令。
三、解密内容写入缓存文件并包含执行
某些系统将解密后的数据持久化写入临时文件(如cache/xxx.php),随后通过require或include加载该文件;若写入路径可控且文件扩展名为.php,则可实现代码写入与执行。
1、确定加密参数控制的写入位置,例如通过?token=...解密后决定写入的文件名或路径片段。
2、构造包含PHP标签的payload,如"",并按目标加密逻辑加密。
3、触发写入操作,使解密后的内容落入可被include的路径下。
4、再发起另一请求,通过已知路径(如/cache/abc123.php)直接访问该文件,服务器将解析并执行其中的PHP代码。
四、利用JSON解密后键名动态解析触发call_user_func_array
部分API先对加密JSON字符串解密,再json_decode为数组,接着遍历键名并尝试以键名为函数名调用,若键名含恶意函数且参数可控,即可执行任意代码。
1、捕获加密JSON请求体,识别其解密方式(如使用openssl_decrypt + base64_decode)。
2、构造JSON对象,例如{"system":"id","args":["id"]},确保键名为合法函数名。
3、对该JSON字符串执行相同解密流程的逆向加密操作,获得加密密文。
4、提交加密密文,服务端解密后json_decode,并对每个键执行call_user_func_array($key, $value),此时system函数将被调用并执行参数中指定的命令。
五、Base64解密后送入eval或create_function
常见于模板引擎或配置模块,将base64编码的PHP代码作为参数传递,服务端base64_decode后直接送入eval或create_function执行,无任何沙箱或语法校验。
1、编写需执行的PHP代码,如"echo shell_exec('ls -la'); exit;"。
2、对该代码字符串执行base64_encode,得到编码字符串。
3、将编码字符串作为参数(如?code=...)提交至存在base64_decode+eval组合的接口。
4、服务端执行base64_decode($_GET['code'])后传入eval(),原始PHP代码将在当前上下文中完全执行。
