Web 应用中加密解密参数若被恶意利用可导致 php 代码执行,主要途径包括:一、不安全反序列化绕过校验;二、解密内容拼接进动态函数名或变量名;三、解密内容写入缓存文件后包含执行;四、jsON 解密后键名触发 call_user_func_array;五、Base64 解密后送入 eval 或 create_function。
如果在 Web 应用中通过加密解密参数间接导致 PHP 代码被执行,则可能是由于不安全的反序列化、动态函数调用或 eval 类危险函数被可控输入触发。以下是几种可导致 PHP 代码执行的加密解密相关触发方法:
一、利用不安全的反序列化配合加密绕过校验
某些系统对传入的序列化数据进行 AES 或 base64 加密后传输,服务端解密后再反序列化;若解密密钥固定或可预测,攻击者可构造恶意序列化 字符串 并加密,使反序列化时触发__wakeup 或__destruct 中的危险操作。
1、使用 PHP 生成恶意序列化字符串,例如定义包含 system()调用的类实例。
2、将该序列化字符串用与目标系统相同的密钥和 算法(如 openssl_encrypt)进行 AES-128-CBC 加密。
立即学习“PHP 免费学习笔记(深入)”;
3、将加密结果(base64编码 后)作为参数提交至存在 unserialize()调用的 接口。
4、服务端执行 openssl_decrypt 解密后直接传入 unserialize(),触发魔术方法中的代码执行。
二、解密后拼接进动态函数名或变量名
部分代码将解密后的值用于构建函数名、类名或变量名,例如通过 ${$decrypted}或 call_user_func($decrypted)等方式间接调用,若解密内容未过滤,可注入函数名如 assert、system 或 shell_exec。
1、分析目标站点加密参数的加解密逻辑,确认是否使用固定密钥及可逆算法(如 xor、base64、mcrypt_decrypt 等)。
2、构造 payload 字符串,例如 ”system(‘id’)” 或 ”assert($_POST[‘x’])”,并按相同逻辑加密。
3、将加密结果作为参数(如?data=…)发送请求。
4、服务端解密后将其赋值给变量或作为函数名调用,若未限制函数白名单且未过滤特殊字符,将直接执行 PHP 命令。
三、解密内容写入缓存文件并包含执行
某些系统将解密后的数据持久化写入临时文件(如 cache/xxx.php),随后通过 require 或include加载该文件;若写入路径可控且文件扩展名为。php,则可实现代码写入与执行。
1、确定加密参数控制的写入位置,例如通过?Token=… 解密后决定写入的文件名或路径片段。
2、构造包含 PHP 标签的 payload,如 ”“,并按目标加密逻辑加密。
3、触发写入操作,使解密后的内容落入可被 include 的路径下。
4、再发起另一请求,通过已知路径(如 /cache/abc123.php)直接访问该文件,服务器将解析并执行其中的 PHP 代码。
四、利用 json 解密后键名动态解析触发 call_user_func_array
部分 API 先对加密 JSON 字符串解密,再json_decode 为数组,接着遍历键名并尝试以键名为函数名调用,若键名含恶意函数且参数可控,即可执行任意代码。
1、捕获加密 JSON 请求体,识别其解密方式(如使用 openssl_decrypt + base64_decode)。
2、构造 JSON对象,例如{“system”:”id”,”args”:[“id”]},确保键名为合法函数名。
3、对该 JSON 字符串执行相同解密流程的逆向加密操作,获得加密密文。
4、提交加密密文,服务端解密后 json_decode,并对每个键执行 call_user_func_array($key, $value), 此时 system 函数将被调用并执行参数中指定的命令。
五、Base64 解密后送入 eval 或 create_function
常见于模板引擎或配置模块,将 base64编码 的 PHP 代码作为参数传递,服务端 base64_decode 后直接送入 eval 或 create_function 执行,无任何沙箱或语法校验。
1、编写需执行的 PHP 代码,如 ”echo shell_exec(‘ls -la’); exit;”。
2、对该代码字符串执行 base64_encode,得到编码字符串。
3、将编码字符串作为参数(如?code=…)提交至存在 base64_decode+eval 组合的接口。
4、服务端执行 base64_decode($_GET[‘code’])后传入 eval(),原始 PHP 代码将在当前上下文中完全执行。
以上就是加密解密怎样触发
