windows下搭建轻量级php代码审计环境
前言
因为需要给新买的电脑配置环境(联想拯救者yyds),配置环境的过程总是繁琐的,为了防止下次自己能够翻笔记直接复现,记录之
安装软件
- VScode
- phpstudy(这里我使用的是2018版的,读者可以用新一点的版本)
- Xdebug
安装phpstudy
在官网找到相应的版本进行下载即可
配置Xdebug
phpstudy官方已经封装好了xdebug,我们只需要修改一下配置文件即可
xdebug扩展在每个版本的php目录下的ext(extend)文件夹下
修改配置文件php.ini
搜索xdebug字段,根据自己的版本添加以下内容(注意根据自己的电脑配置相应的路径,路径记得替换成自己的!!)
[XDebug]
xdebug.profiler_output_dir="D:\phpStudy\PHPTutorial\tmp\xdebug"
xdebug.trace_output_dir="D:\phpStudy\PHPTutorial\tmp\xdebug"
zend_extension="D:\phpStudy\PHPTutorial\php\php-5.4.45\ext\php_xdebug.dll"
xdebug.remote_enable=1
xdebug.remote_host=localhost
xdebug.remote_port=9000
xdebug.remote_autostart = 1
xdebug.profiler_enable = 1
xdebug.remote_timeout=2000
其中部分字段的含义,我直接复制国光师傅的解释了:
[XDebug]
; 如果大家要配置这个的话,可以模仿一下下面的规则,去对应的版本目录下找到对应的 xdebug.so 文件即可
zend_extension=/www/server/php/73/lib/php/extensions/no-debug-non-zts-20180731/xdebug.so
; 开启远程调试功能
xdebug.remote_enable=1
; 远程调试地址
xdebug.remote_host=localhost
; 远程调试端口
xdebug.remote_port=9000
; 每次执行脚本都会启动 xdebug 调试
xdebug.remote_autostart = 1
; 每次请求都会生成一个性能报告文件
xdebug.profiler_enable = 1
; 在 IDE 上等待确认传入调试连接以的时间(毫秒)
xdebug.remote_timeout=2000
; debug 调试的日志位置
xdebug.remote_log = /tmp/xdebug.log
接着重启phpstudy服务,浏览器访问phpinfo,出现xdebug即配置成功
配置vsCode
安装vsCode:https://code.visualstudio.com/download
选择相应版本进行下载即可
安装debug插件:PHPDebug
测试审计环境
准备一段php代码放在phpstudy目录下
<?php
error_reporting(0);
function add($x,$y)
{
$total=$x+$y;
return $total;
}
$a = $_REQUEST['a'];
$b = $_REQUEST['b'];
if(isset($a) && isset($b)){
echo "$a + $b = " . add($a,$b);
}else{
echo "test debug";
}
?>
在vsCode中点击
修改配置文件端口为我们之前配置的Xdebug端口 9000(这里一定要注意跟之前xdebug配置文件中设置的端口一致)
保存后选择Listen for Xdebug
在vsCode里面使用F5打断点,到浏览器中进行访问即可开始调试
浏览器界面为:
可能会出现没有php可执行文件的错误,即:
PHP executable not found. Install PHP 7 and add it to your PATH or set the php.executablePath settin
类似的错误
此时vsCode右下角可以选择打开settings.json文件,按照自己的环境配置php可执行文件的路径即可,然后保存重启vsCode即可
{
"php.validate.executablePath": "D:\\phpStudy\\PHPTutorial\\php\\php-5.4.45\\php.exe",
"php.executablePath":"D:\\phpStudy\\PHPTutorial\\php\\php-5.4.45\\php.exe",
}
配置完成,算是一个轻量级的php代码审计环境 😃
参考链接
- https://www.sqlsec.com/2020/09/xdebug.html
- https://www.sqlsec.com/2020/07/macphp.html
- https://www.cnblogs.com/zengguowang/p/8391227.html
- https://www.cnblogs.com/phonecom/p/10340038.html#/c/subject/p/10340038.html
END
建了一个微信的安全交流群,欢迎添加我微信备注进群
,一起来聊天吹水哇,以及一个会发布安全相关内容的公众号,欢迎关注 😃