// PHP Web 归档解压(Zip Slip/路径穿越)审计工具。识别解压条目名如何与目标目录拼接、是否存在 base dir 约束缺失,输出可利用性分级、可观测 PoC 与修复建议(禁止省略)。
PHP Web 全链路白盒代码安全审计流水线(多文件版编排)。作为总编排参考,按 Sink 类型调用各子审计 skill(`php-route-mapper/php-auth-audit/php-route-tracer/php-*-audit`),并复用统一输出与分级标准。
PHP Web 源码鉴权机制审计工具。从源码中识别所有认证/鉴权实现并分析风险,输出路由-鉴权映射与漏洞分析(含 PoC 与修复建议)。
PHP Web 源码命令注入审计工具。识别命令执行 Sink(exec/system/shell_exec 等),追踪用户输入进入命令拼接,输出可利用性分级、PoC 与修复建议(禁止省略)。
CodeIgniter 框架特效安全审计工具。针对 CodeIgniter 的 CSRF、XSS 输出过滤、数据库查询构造、路由与验证器配置、会话 Cookie 安全等机制进行白盒静态审计,并映射到通用漏洞类型体系(CSRF/AUTH/XSS/SQL/CFG/SESS 等)。
PHP Web 配置安全审计工具。识别 CORS/错误暴露/调试开关/安全头/危险运行时开关等,输出分级、可利用性分析、PoC 与修复建议(禁止省略)。
PHP Web 源码 CRLF/响应分割审计工具。识别用户输入进入 HTTP 响应头,分析换行/控制字符过滤与编码,输出分级、PoC 与修复建议(禁止省略)。
| name | php-archive-extract-audit |
| description | PHP Web 归档解压(Zip Slip/路径穿越)审计工具。识别解压条目名如何与目标目录拼接、是否存在 base dir 约束缺失,输出可利用性分级、可观测 PoC 与修复建议(禁止省略)。 |
分析 PHP 项目中“解压/提取归档文件到磁盘目录”的实现逻辑。重点审计 Zip Slip 类问题:攻击者可通过精心构造归档条目名(entry name/path)使最终写入落点逃逸目标目录。
shared/SEVERITY_RATING.md{C/H/M/L}-ARCHIVE-{序号}识别并追踪归档提取调用点,至少包括:
ZipArchive->extractTo($destination, {value})ZipArchive->extract($destination, {value})(若项目使用封装)PharData->extractTo($destination, {value})Archive_Tar->extractTo($destination, {value})(若项目使用 PEAR/等价封装)Archive_Tar->extract($destination, {value})(若项目使用封装)每条 ARCHIVE 疑似漏洞必须逐项引用 php-route-tracer trace 输出中 ## 9) Sink Evidence Type Checklist 的 ARCHIVE 行对应证据要点(允许状态为待验证,但证据引用必须存在):
EVID_ARCHIVE_EXTRACT_CALLSITE:归档解压/提取调用点证据(extractTo/extractTo 包装函数入口)EVID_ARCHIVE_ENTRY_NAME_SOURCE:entry name/path 来源证据(来自归档内容的 entry 列表,或由用户输入构造的条目路径)EVID_ARCHIVE_ENTRY_SANITIZATION:条目路径净化/归一化证据(去除/拒绝 ../、绝对路径、盘符等路径穿越片段;以及如何处理编码/同形字符)EVID_ARCHIVE_EXTRACT_BASE_DIR:解压基目录证据(destination/base directory 的来源与传入方式)EVID_ARCHIVE_FINAL_TARGET:最终解析落点证据(entry join 后的 resolved final path,以及 base 目录约束判定是否成立)必须输出并判断:
realpath + 前缀校验,而不是仅字符串替换)当满足任一条件时必须依赖 php-route-tracer:
输出到:
{output_path}/vuln_audit/archive_{timestamp}.md
每条漏洞必须遵循以下结构(不得省略):
### [{等级前缀}-ARCHIVE-{序号}] 归档解压路径穿越(Zip Slip)风险
| 项目 | 信息 |
|------|------|
| 严重等级 | {🔴/🟠/🟡/🔵} (CVSS {score}) |
| 可达性 (R) | {0-3} - {理由} |
| 影响范围 (I) | {0-3} - {理由} |
| 利用复杂度 (C) | {0-3} - {理由} |
| 可利用性 | ✅ 已确认 / ⚠️ 待验证 / ❌ 不可利用 / 🔍 环境依赖 |
| 位置 | {file}:{line} ({Function/Class}) |
#### 数据流链(Source -> Transform -> Sink)
(逐行写出:归档 entry name/path 进入 -> 净化/归一化 -> base destination join -> resolved final target -> 是否逃逸 base 约束 -> 实际写入/提取调用点)
#### 可利用前置条件
- 鉴权要求:{无需/需登录/需特定权限}
- 输入可控性:{完全可控/条件可控/不可控}
- 触发条件:{分支/异常路径/需要特定归档格式/需要特定服务器文件权限}
#### 证据引用(强制:来自 php-route-tracer)
必须逐项引用:
- `EVID_ARCHIVE_EXTRACT_CALLSITE`:{证据点简述}
- `EVID_ARCHIVE_ENTRY_NAME_SOURCE`:{证据点简述}
- `EVID_ARCHIVE_ENTRY_SANITIZATION`:{证据点简述(缺失则写“未发现过滤/归一化不足”并给出 trace 证据)}
- `EVID_ARCHIVE_EXTRACT_BASE_DIR`:{证据点简述}
- `EVID_ARCHIVE_FINAL_TARGET`:{证据点简述(说明 resolved target 是否逃逸)}
#### 验证 PoC(强制:可观测验证框架)
```http
{HTTP Method} {真实路由与完整参数} HTTP/1.1
Host: {host}
{必要 Header/Session/JWT/Cookie}
{Payload}
PoC 生成/触发策略(必须写清楚你要观察什么):
../../../../var/www/html/pwn.php(或 Windows 路径变体)realpath + base 前缀校验rg 定位所有 extractTo/extract/归档解压封装入口与 destination 拼接逻辑
## tracer 证据缺失处理(强制)
- 若 trace 中任一关键证据点(`EVID_ARCHIVE_EXTRACT_CALLSITE / EVID_ARCHIVE_ENTRY_NAME_SOURCE / EVID_ARCHIVE_ENTRY_SANITIZATION / EVID_ARCHIVE_EXTRACT_BASE_DIR / EVID_ARCHIVE_FINAL_TARGET`)缺失或无法对应到本条漏洞:该条漏洞状态只能标记为 `⚠️待验证`,不得直接给出 `✅已确认可利用`。