所谓的“PHP任意文件上传漏洞”的驳斥与国内安全娱乐圈之我见

前几天微博、各大媒体上突然冒出来一个“PHP任意文件上传漏洞（CVE-2015-2348）”，打开看过之后发现，确实是前段时间出来的一个漏洞。这篇文章由信息安全界“知名”媒体Freebuf首先出来炒，之后360也不甘示弱，腾讯紧跟其后，炒的不亦乐乎。

这大概是很多不明真相的同学们眼中的CVE-2015-2348。

我是一个礼拜前，在php官网新发布的changelog看到这个漏洞的，并且漏洞原理比较简单，影响也不大，所以记在笔记上作为tip（有些tips我是会放到以后ctf题目中的，这个我当时的想法也一样）。

大概在国内媒体开炒一天前，twitter上有歪果仁转发了这个漏洞的链接。

国内微博上，有同学也开始转发漏洞链接。

随后，Freebuf就发出这篇《PHP任意文件上传漏洞（CVE-2015-2348）》。

然后就一发不可收拾，各个群、各个小圈子开始讨论这个漏洞，不明真相的人在跟风，娱乐圈人士在想怎么炒作，明智的人在吐槽无良媒体。还有一群苦逼的安全公司员工，不得不加班到深夜，被领导美其名曰应急响应。

为什么没有人分析漏洞呢？？

因为漏洞太简单，根本不用怎么分析呀！

从技术上分析，这个漏洞实际上就是：在php某些较新版本（鸡肋之一）中的move_upload_file函数第二个参数可以被x00截断。而php中，在用户可以控制的变量里，只有$_GET/$_POST/$_COOKIE/$_REQUEST是可以包含x00的。但通常上传使用的变量$_FILES[xxx][name]是不能包含x00的。

这就是这个洞的鸡肋之二。

而且如果我们能够控制move_upload_file函数的第二个参数了，实际上能够在很多特定环境下上传任意文件，所以这个CVE只能算是其中一个环境的一种情况，更类似与一个tip。

简单易懂的漏洞通常有个特征：非常适合媒体炒作。你何时见过有媒体去炒作PHP Use After Free？

因为大部分媒体没能力炒作，或者说炒作成本太高，大众接受能力太低。

我不知道“PHP任意文件上传漏洞”这个名字是怎么出来的，但我看到就觉得这是FREEBUF的一大败笔。那我想说，来来来，我博客是PHP写的，你给我传一个任意文件看看？？

我并不想对这个漏洞有什么太多的评价，但当今安全圈子浮躁的氛围是我眼中最可怕的事情。我从这件事中可以看到国内所谓安全圈的几个问题：

1.跟风现象极为严重，很多微博实际都是从推特中复制粘贴来的。

2.一旦发现有“简单的”、“看似影响大的”漏洞，就会大肆宣扬，不断炒作。

3.安全媒体互相攀比，一家媒体炒起来，另外几家就会争先报道，生怕落后。

4.做媒体的多，做研究的少。

在当今安全环境下，我们只能做到自保，自保不被媒体带入娱乐圈。安心下来研究点东西，是国人最缺少的素质。这一点，我觉得做二进制的一圈人应该是web党的榜样。

他们真正静下心做出了研究成果。我并不觉得在二进制面前web有什么卑微的，但我觉得是众多做web的小黑客、脚本小子、跟风媒体将圈子的研究氛围破坏了，web的地位也是被带的越来越低。谁让web入门简单、国内网站漏洞多、所谓白帽子年龄越来越小呢？

与其说是部分人作祟，不如说是不成熟的心理影响了整个圈子的发展。

本文始发于微信公众号（代码审计）：所谓的“PHP任意文件上传漏洞”的驳斥与国内安全娱乐圈之我见