日志注入可导致任意PHP代码执行,主要途径包括:一、Apache访问日志+User-Agent注入;二、Nginx错误日志+fastcgi_split_path_info缺陷;三、PHP内置服务器自定义日志未过滤;四、WordPress插件日志未净化;五、Tomcat access log被Nginx误当PHP解析。
如果Web服务器日志中包含用户可控输入且日志文件被PHP解析执行,则可能通过日志注入触发任意PHP代码执行。以下是实现该行为的多种方法:
一、利用Apache访问日志包含User-Agent字段并被include
当PHP脚本使用include或require动态加载Apache访问日志,且攻击者能控制User-Agent头时,可将PHP代码注入日志并触发执行。
1、使用curl发送携带恶意User-Agent的请求:
curl -H "User-Agent: php system('id'); ?>" http://target.com/index.php
2、确认日志路径,常见为/var/log/apache2/access.log或/var/log/httpd/access_log
立即学习“PHP免费学习笔记(深入)”;
3、构造PHP页面,内容为:
4、访问该PHP页面,服务器将解析日志中嵌入的并执行
5、若日志中存在PHP短标签未被禁用且log文件具有可读权限,则代码可成功执行
二、利用Nginx错误日志配合fastcgi_split_path_info
在Nginx + PHP-FPM配置中,若fastcgi_split_path_info正则存在缺陷,可能导致错误日志路径被解析为PHP脚本,从而将恶意payload写入error.log并触发执行。
1、向不存在的PHP路径发起请求,例如:http://target.com/xxx.php/xxx.jpg
2、在请求中注入PHP代码到URI或Referer头:
curl -H "Referer: " http://target.com/xxx.php/xxx.jpg
3、确认Nginx错误日志路径,通常为/var/log/nginx/error.log
4、访问一个可导致Nginx将error.log作为PHP脚本处理的特殊路径,如:http://target.com/xxx.jpg/.php
5、关键条件是Nginx配置中存在不安全的fastcgi_split_path_info正则且error.log被PHP-FPM解析
三、利用PHP内置Web服务器的日志注入
PHP内置服务器(php -S)默认将请求日志输出到STDOUT,但若开发者自定义日志写入文件且未过滤输入,可能造成日志文件被后续include操作执行。
1、启动PHP内置服务器并指定路由脚本:php -S 0.0.0.0:8000 router.php
2、在router.php中实现日志记录逻辑,例如:file_put_contents('app.log', $_SERVER['REQUEST_URI'] . "\n", FILE_APPEND);
3、发送含PHP代码的请求:curl "http://localhost:8000/"
4、确保另一处PHP代码执行include('app.log')或类似操作
5、必须满足日志文件路径可预测且写入内容未经过滤、未转义
四、利用WordPress插件日志功能写入可执行内容
部分WordPress插件(如WP Debug Log、Query Monitor)将调试信息或SQL查询记录至自定义日志文件,若日志内容未净化且该文件路径可通过主题或插件模板include,则构成执行链。
1、启用调试模式并在wp-config.php中设置define('WP_DEBUG_LOG', true);
2、触发插件记录敏感数据,例如构造含PHP代码的SQL查询或HTTP头
3、查找插件日志文件路径,常见为/wp-content/debug.log或/wp-content/plugins/plugin-name/logs/
4、创建模板文件(如page-log-exec.php),内容为:
5、需确保插件未对日志内容进行HTML实体编码或PHP标签过滤
五、利用Tomcat access log结合JSP解析漏洞间接触发PHP执行
在混合环境(如Nginx反代Tomcat + PHP-FPM共存)中,若Nginx将特定后缀(如.jsp)转发至PHP处理器,且Tomcat access.log被Nginx以PHP方式解析,则可通过伪造JSP请求将PHP代码写入access.log并触发。
1、向Tomcat发送含恶意User-Agent的请求:
curl -H "User-Agent: " http://tomcat-backend:8080/test.jsp
2、确认Tomcat access log路径,通常为$CATALINA_HOME/logs/access_log.yyyy-mm-dd
3、配置Nginx location块,使对*.jsp路径的请求由PHP-FPM处理而非代理至Tomcat
4、访问Nginx上对应日志文件路径,如http://nginx-proxy/access_log.2024-01-01
5、前提条件是Nginx配置错误导致日志文件扩展名匹配PHP处理器且无访问限制
