文件操作触发PHP代码执行技巧

一分耕耘，一分收获！既然都打开这篇《文件操作触发PHP代码执行方法》，就坚持看下去，学下去吧！本文主要会给大家讲到等等知识点，如果大家对本文有好的建议或者看到有不足之处，非常欢迎大家积极提出！在后续文章我会继续更新文章相关的内容，希望对大家都有所帮助！

通过文件操作使服务器执行PHP代码有五种主要技术：一、上传PHP文件并直接访问；二、利用日志文件包含执行；三、利用临时文件竞争条件写入；四、利用phar反序列化触发；五、利用图像EXIF数据注入执行。

如果通过文件操作使服务器端执行PHP代码，通常涉及将恶意PHP代码写入可被Web服务器解析的文件中。以下是实现该行为的多种技术路径：

一、上传PHP文件并直接访问

该方法依赖于Web应用未严格校验上传文件类型与扩展名，导致攻击者可上传以.php为后缀的脚本文件，并通过HTTP请求直接触发解析执行。

1、构造包含PHP代码的文本文件，内容为，保存为shell.php。

2、利用存在文件上传功能的表单，选择该文件并提交，观察响应中返回的文件存储路径。

3、在浏览器中访问返回路径，例如http://example.com/uploads/shell.php，服务器将解析并执行其中的PHP代码。

4、若上传后文件扩展名被强制改为.jpg等不可执行格式，尝试使用截断绕过（如shell.php%00.jpg）或MIME类型欺骗触发原始扩展名解析。

二、利用日志文件包含执行

该方法利用Web服务器（如Apache、Nginx）将客户端请求信息写入日志文件的特性，将PHP代码注入User-Agent或Referer等HTTP头字段，再通过LFI漏洞包含该日志文件，从而触发PHP解析器执行嵌入代码。

1、向目标站点发送一个带有恶意User-Agent头的请求：curl -H "User-Agent: " http://example.com/

2、确认Web服务器日志路径，常见位置包括/var/log/apache2/access.log或/var/log/nginx/access.log。

3、利用已知的本地文件包含漏洞，构造URL访问：http://example.com/vuln.php?file=/var/log/apache2/access.log

4、若页面输出system('id')的执行结果，则说明日志内容已被PHP引擎解析执行。

三、利用临时文件竞争条件写入

该方法针对PHP函数如move_uploaded_file()与文件系统操作之间的时间窗口，在上传过程中劫持临时文件路径，将恶意PHP代码写入正在被移动的目标位置。

1、使用Burp Suite拦截上传请求，修改filename参数为指向Web可访问目录下的PHP路径，例如../../www/shell.php。

2、在并发请求中持续向该路径发起写入请求，利用/tmp/phpXXXXXX临时文件未被及时清理的间隙覆盖其内容。

3、监控目标路径是否生成预期PHP文件，若成功，立即发起GET请求访问该路径。

4、成功执行时，响应中将出现PHP代码的输出结果而非源码，表明服务器已解析执行。

四、利用phar反序列化触发

该方法通过构造恶意phar文件，在文件操作函数（如file_exists、fopen、unserialize）调用时触发反序列化，进而执行__destruct或__wakeup中的PHP代码。

1、创建PHP脚本生成phar文件，设置stub为__HALT_COMPILER();?>，添加恶意对象到metadata中。

2、禁用phar.readonly配置（需php.ini中允许），或利用其他支持phar协议的函数绕过限制。

3、将生成的phar文件上传至服务器，并构造路径如phar://upload/test.phar/abc。

4、当目标代码调用file_exists("phar://upload/test.phar/abc")时，反序列化自动触发，执行预设的恶意逻辑。

五、利用图像EXIF数据注入执行

该方法将PHP代码嵌入JPEG文件的EXIF注释段，再通过图像处理函数（如exif_read_data）或文件包含漏洞间接触发执行。

1、使用工具如exiftool向JPEG文件写入PHP代码到Comment字段：exiftool -Comment="" image.jpg

2、上传该JPEG文件，记录其在服务器上的完整路径。

3、寻找调用getimagesize、exif_read_data或include/require该图片路径的代码点。

4、若目标代码将图片路径传递给include，且未过滤二进制内容，则PHP解析器会尝试执行EXIF中的PHP标签。

以上就是《文件操作触发PHP代码执行技巧》的详细内容，更多关于的资料请关注golang学习网公众号！