文件上传触发PHP执行漏洞分析

本文深入剖析了文件上传功能被恶意利用以触发PHP代码执行的五大高危技术路径，涵盖绕过后缀校验、Apache .htaccess强制解析、Nginx CVE-2013-4547路径解析漏洞、PHAR反序列化攻击以及IIS短文件名绕过等实战手法，每种方法均配有清晰的原理说明与可复现的操作步骤，直击Web安全中“上传即沦陷”的核心风险，为开发者加固防线和渗透测试人员挖掘深层漏洞提供极具价值的技术指南。

如果上传的文件被服务器当作PHP脚本解析并执行，则可能造成远程代码执行风险。以下是实现该行为的常见技术路径：

一、上传含PHP代码的文件并绕过扩展名检查

部分应用仅校验文件后缀名，未验证文件内容或MIME类型，攻击者可将PHP代码保存为看似合法的图片文件（如.jpg），再通过服务端配置缺陷触发解析。

1、使用文本编辑器创建文件，写入，保存为shell.jpg。

2、在上传表单中选择该文件，同时使用抓包工具（如Burp Suite）拦截请求。

3、修改HTTP请求中Content-Disposition字段的filename值，将shell.jpg改为shell.php。

4、若服务端仅依赖前端或简单后缀白名单，该请求可能成功上传并生成可访问的PHP文件。

二、利用Apache解析漏洞（.htaccess覆盖）

当目标使用Apache且允许用户上传.htaccess文件时，可通过自定义规则强制特定扩展名按PHP模块解析。

1、构造内容为AddType application/x-httpd-php .jpg的.htaccess文件。

2、上传该文件至Web可写目录（如/uploads/）。

3、上传另一张含PHP代码的图片文件，命名为test.jpg。

4、访问http://target.com/uploads/test.jpg，Apache将按PHP方式解析并执行其中代码。

三、利用Nginx文件名逻辑解析漏洞（CVE-2013-4547）

Nginx在处理带空格和斜杠的文件路径时存在解析歧义，可使非PHP文件被当作PHP执行。

1、准备含PHP代码的文件，命名为shell.jpg。

2、上传后，构造URL访问：http://target.com/uploads/shell.jpg%20/1.php。

3、Nginx将忽略%20/1.php部分，但将shell.jpg交由后端PHP-FPM处理。

4、PHP-FPM默认不校验原始请求路径，直接执行shell.jpg中的PHP代码。

四、上传用户可控的PHAR文件并触发反序列化

当应用存在未过滤的反序列化点且启用phar://协议时，上传恶意PHAR可间接执行代码。

1、使用PHP构建PHAR文件，在stub中嵌入__HALT_COMPILER();，并在meta-data中注入恶意反序列化对象。

2、设置PHAR文件后缀为.jpg，并禁用签名以绕过校验。

3、上传该文件至服务器，获取其可访问路径（如/uploads/malicious.jpg）。

4、在存在unserialize()调用的功能点中，传入phar://./uploads/malicious.jpg作为参数。

5、PHP将解析PHAR并触发反序列化链中的__destruct()等魔术方法。

五、利用IIS短文件名特性结合解析顺序

IIS在启用短文件名功能时，会为长文件名生成8.3格式别名，配合特定解析顺序可导致PHP文件被误识别为静态资源后仍被解析。

1、上传shell.php，确认其短文件名为shell~1.php。

2、尝试访问http://target.com/uploads/shell~1.php，观察是否返回PHP执行结果。

3、若IIS配置将.php映射至PHP-CGI且未禁用短名，该请求将直接交由PHP引擎处理。

4、即使上传目录无直接执行权限，短文件名仍可能绕过路径级限制。

今天关于《文件上传触发PHP执行漏洞分析》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！