PHP Web漏洞利用：构造Exp与绕过WAF技巧

在这个PHP代码片段中，我们主要讨论的是一个名为NKCTF的网络安全挑战中的Web应用程序漏洞利用。标题和描述表明这是一个关于PHP编程和安全控制的问题，特别是涉及构造函数、析构函数、函数绕过（WAF）以及反序列化漏洞的利用。 1. **构造函数与析构函数的交互**: - 类`Welcome`定义了两个方法：`__construct()` 和 `__destruct()`。`__construct()` 在对象创建时执行，设置了`$this->name`属性。`__destruct()` 方法在对象销毁时执行，如果`$this->name`的值是`welcome_to_NKCTF`，则会输出`$this->arg`的值。 2. **WAF（Web应用防火墙）绕过**: - `waf()` 函数检查输入字符串是否包含特定字符（如 `/`、`f`、`l` 等），如果匹配则终止脚本。这用于防止恶意命令注入。但通过`urlencode()`函数，我们可以绕过这个限制，将恶意命令编码为合法字符序列。 3. **反序列化漏洞**: - 代码中的`if(isset($_GET['p']))`检查是否存在GET参数`p`，如果没有，脚本会高亮显示当前文件以提示错误。然而，当存在`$_GET['p']`时，它被`unserialize()`函数解码，可能触发反序列化漏洞。`Happy`类的实例化允许我们将自定义的`$shell`和`$cmd`变量传递给`eval()`函数，这可能导致恶意代码执行，因为`eval()`可以执行任何字符串作为PHP代码。 4. **攻击示例**: - 用户构造的payload（`$a->shell="urldecode"; $a->cmd="system('c%61t/%661%61%67');"`）将`urldecode`函数设置为`$shell`，并构造了一个包含`cat/f1ag`的恶意命令，意图执行系统命令。`$b->func=$a;`将`Happy`实例赋值给`Hell0`的`$func`属性，然后`$c->arg=$b`将`Hell0`实例赋给`Welcome`的`$arg`，最终通过序列化输出来触发漏洞。 总结，这段代码展示了一个常见的PHP Web应用程序中的反序列化漏洞利用场景，攻击者可以通过精心构造的输入来执行任意代码，强调了在处理用户输入时对潜在安全风险的警惕性和适当的安全措施的重要性，如正确配置和使用WAF、输入验证以及避免使用`eval()`等。