URL参数触发PHP代码执行漏洞分析

本文深入剖析了URL参数未严格过滤时触发PHP代码执行的五种高危路径，重点揭示了反序列化漏洞利用（通过构造恶意序列化字符串激活__destruct等魔术方法）、旧版PHP中preg_replace()函数/e修饰符注入、以及动态函数调用绕过白名单等实战攻击手法，辅以清晰的识别步骤与可复现的Payload示例，为安全研究人员和开发者提供了一线防御视角与加固思路。

如果URL中包含特定参数，且PHP脚本未对输入进行严格过滤与转义，则可能被用于非预期地触发代码执行。以下是几种常见的URL参数传递并间接触发PHP代码执行的方式：

一、利用eval()函数配合可控参数

当PHP脚本中存在将URL参数直接传入eval()、assert()或create_function()等动态执行函数的逻辑时，攻击者可通过构造恶意参数实现代码执行。

1、确认目标页面是否存在类似$_GET['func']参数被直接送入eval()的代码片段。

2、在URL中附加参数，例如：?func=phpinfo();

3、若服务端代码为eval($_GET['func']);，则该参数将被当作PHP代码解析执行。

二、通过文件包含函数加载远程或本地恶意脚本

当URL参数被用于include、require、include_once或require_once等文件包含函数，且未限制协议和路径时，可借助伪协议或远程URL触发任意代码执行。

1、尝试使用data://协议注入PHP代码：?page=data://text/plain,

2、若服务器允许data://协议且无open_basedir限制，该payload将被当作PHP文件加载执行。

3、也可尝试php://input协议，配合POST请求体写入代码：?page=php://input，并在请求体中发送

三、利用反序列化参数触发__wakeup或__destruct魔术方法

当URL参数（如token、data）被unserialize()反序列化，且其中对象类定义了可利用的魔术方法时，可能触发预设的危险操作。

1、识别参数是否被unserialize()处理，例如：unserialize($_GET['data']);

2、构造含恶意类实例的序列化字符串，使__destruct()中调用system()、file_put_contents()等函数。

3、将生成的序列化字符串URL编码后作为参数提交：?data=O%3A8%3A%22Exploit%22%3A1%3A%7Bs%3A4%3A%22cmd%22%3Bs%3A9%3A%22phpinfo%28%29%22%3B%7D

四、通过preg_replace() /e修饰符注入（PHP 5.4.0以下）

在旧版PHP中，preg_replace()函数支持/e修饰符，允许将匹配结果作为PHP代码执行；若参数来自URL且未过滤，即可构成代码执行点。

1、确认目标PHP版本低于5.4.0，并检查是否存在类似preg_replace('/.*/e', $_GET['pattern'], 'test');的代码。

2、构造payload：?pattern=phpinfo()

3、该参数将被当作代码执行，输出phpinfo信息。

五、利用动态函数调用绕过简单白名单

当脚本通过URL参数控制函数名并调用call_user_func、call_user_func_array等函数时，若未校验函数名合法性，可调用危险函数。

1、查找形如call_user_func($_GET['func'], $_GET['arg']);的逻辑。

2、传入系统命令执行函数名：?func=system&arg=cat%20/etc/passwd

3、若无函数名黑名单或白名单机制，system()将被执行并回显命令结果。

以上就是《URL参数触发PHP代码执行漏洞分析》的详细内容，更多关于的资料请关注golang学习网公众号！