PHPvuln - 查找PHP代码中漏洞的 Linux 工具

当涉及到用PHP语言编写的 Web 应用程序时， PHP安全漏洞是一个值得关注的主要原因，因为成功利用此类安全缺陷可能会导致多次经常被利用的攻击。许多漏洞通常不难修复，但如果没有合适的工具，在大型代码库中找到它们可能会很困难。因此，要找到这些主要的安全漏洞，我们需要一个强大的自动化脚本。 PHPvuln 是用Python语言开发的自动化脚本。 PHPvuln 工具检查或测试海量PHP文件列表中是否存在 LFI、XSS、IP 暴露等各种类型的漏洞。同时测试所有漏洞并生成带有恶意查询插入点的快速报告或显示文件的位置。 PHPvuln 工具是开源的并且可以免费使用。

注意：确保您的系统上安装了Python ，因为这是一个基于 Python 的工具。点击查看安装过程：Linux上的Python安装步骤

在 Kali Linux 上安装 PHPvuln 工具

第一步：首先检查Python环境是否已建立，使用以下命令。

python3

第 2 步：打开 Kali Linux 终端并使用以下命令移动到桌面。

cd Desktop

第 3 步：您现在在桌面上使用以下命令创建一个名为 PHPvuln 的新目录。在这个目录中，我们将完成 PHPvuln 工具的安装。

mkdir PHPvuln 

第 4 步：现在使用以下命令切换到 PHPvuln 目录。

cd PHPvuln 

第 5 步：现在您必须安装该工具。您必须从 Github 克隆该工具。

git clone https://github.com/ecriminal/phpvuln.git

第六步：工具已经下载成功到PHPvuln目录下。现在使用以下命令列出该工具的内容。

ls

第7步：您可以观察到在我们安装该工具时已经生成了一个PHPvuln工具的新目录。现在使用以下命令移动到该目录：

cd phpvuln

第 8 步：再次发现该工具的内容，使用以下命令。

ls

第 9 步：下载运行该工具所需的软件包，使用以下命令。

pip3 install -r requirements.txt

第 10 步：现在我们完成了安装，使用以下命令查看工具的帮助（更好地理解工具）索引。

python3 phpvuln.py -h

在 Kali Linux 上使用 PHPvuln 工具

示例 1：漏洞列表

python3 phpvuln.py --list-vuln

在此示例中，我们将显示可在PHP文件上测试的可用漏洞列表。

示例 2：查找漏洞

1. 在本例中，我们将测试PHP文件的漏洞。在下面的屏幕截图中，我们有要测试的 Buggy Software 的PHP文件。

2. 在下面的截图中，我们指定了要测试的PHP文件的路径。

3. 在下面的截图中，我们已经在我们测试过的PHP文件中发现了漏洞。我们有各种类型的漏洞，如 XSS、IP 暴露等。

示例 3：检查特定漏洞

1、本例中，我们只测试XSS漏洞，如上例，工具已经测试了所有的漏洞。我们使用了 -v 标签来指定仅将被测试的漏洞类型。

2. 在下面的截图中，我们有易受攻击的文件和检测到 XSS 漏洞的代码片段。