加密解密触发PHP代码执行技巧

大家好，今天本人给大家带来文章《加密解密触发PHP代码执行方法》，文中内容主要涉及到，如果你对文章方面的知识点感兴趣，那就请各位朋友继续看下去吧~希望能真正帮到你们，谢谢！

Web应用中加密解密参数若被恶意利用可导致PHP代码执行，主要途径包括：一、不安全反序列化绕过校验；二、解密内容拼接进动态函数名或变量名；三、解密内容写入缓存文件后包含执行；四、JSON解密后键名触发call_user_func_array；五、Base64解密后送入eval或create_function。

如果在Web应用中通过加密解密参数间接导致PHP代码被执行，则可能是由于不安全的反序列化、动态函数调用或eval类危险函数被可控输入触发。以下是几种可导致PHP代码执行的加密解密相关触发方法：

一、利用不安全的反序列化配合加密绕过校验

某些系统对传入的序列化数据进行AES或base64加密后传输，服务端解密后再反序列化；若解密密钥固定或可预测，攻击者可构造恶意序列化字符串并加密，使反序列化时触发__wakeup或__destruct中的危险操作。

1、使用PHP生成恶意序列化字符串，例如定义包含system()调用的类实例。

2、将该序列化字符串用与目标系统相同的密钥和算法（如openssl_encrypt）进行AES-128-CBC加密。

3、将加密结果（base64编码后）作为参数提交至存在unserialize()调用的接口。

4、服务端执行openssl_decrypt解密后直接传入unserialize()，触发魔术方法中的代码执行。

二、解密后拼接进动态函数名或变量名

部分代码将解密后的值用于构建函数名、类名或变量名，例如通过${$decrypted}或call_user_func($decrypted)等方式间接调用，若解密内容未过滤，可注入函数名如assert、system或shell_exec。

1、分析目标站点加密参数的加解密逻辑，确认是否使用固定密钥及可逆算法（如xor、base64、mcrypt_decrypt等）。

2、构造payload字符串，例如"system('id')"或"assert($_POST['x'])"，并按相同逻辑加密。

3、将加密结果作为参数（如?data=...）发送请求。

4、服务端解密后将其赋值给变量或作为函数名调用，若未限制函数白名单且未过滤特殊字符，将直接执行PHP命令。

三、解密内容写入缓存文件并包含执行

某些系统将解密后的数据持久化写入临时文件（如cache/xxx.php），随后通过require或include加载该文件；若写入路径可控且文件扩展名为.php，则可实现代码写入与执行。

1、确定加密参数控制的写入位置，例如通过?token=...解密后决定写入的文件名或路径片段。

2、构造包含PHP标签的payload，如""，并按目标加密逻辑加密。

3、触发写入操作，使解密后的内容落入可被include的路径下。

4、再发起另一请求，通过已知路径（如/cache/abc123.php）直接访问该文件，服务器将解析并执行其中的PHP代码。

四、利用JSON解密后键名动态解析触发call_user_func_array

部分API先对加密JSON字符串解密，再json_decode为数组，接着遍历键名并尝试以键名为函数名调用，若键名含恶意函数且参数可控，即可执行任意代码。

1、捕获加密JSON请求体，识别其解密方式（如使用openssl_decrypt + base64_decode）。

2、构造JSON对象，例如{"system":"id","args":["id"]}，确保键名为合法函数名。

3、对该JSON字符串执行相同解密流程的逆向加密操作，获得加密密文。

4、提交加密密文，服务端解密后json_decode，并对每个键执行call_user_func_array($key, $value)，此时system函数将被调用并执行参数中指定的命令。

五、Base64解密后送入eval或create_function

常见于模板引擎或配置模块，将base64编码的PHP代码作为参数传递，服务端base64_decode后直接送入eval或create_function执行，无任何沙箱或语法校验。

1、编写需执行的PHP代码，如"echo shell_exec('ls -la'); exit;"。

2、对该代码字符串执行base64_encode，得到编码字符串。

3、将编码字符串作为参数（如?code=...）提交至存在base64_decode+eval组合的接口。

4、服务端执行base64_decode($_GET['code'])后传入eval()，原始PHP代码将在当前上下文中完全执行。

今天关于《加密解密触发PHP代码执行技巧》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！