php文件上传漏洞需满足文件被解析且含可执行代码才触发命令执行;常见利用链为上传→绕过校验→路径可访问→请求url解析;shell_exec比system更稳妥,但受disable_functions和open_basedir限制。
PHP文件上传漏洞本身不会自动执行print或system命令
这是个常见误解:单纯上传一个 PHP 文件(比如 shell.php),并不等于服务器会立刻执行它。关键取决于两个条件:文件是否被 Web 服务器解析为 PHP,以及该文件内容是否包含可执行的 PHP 代码。如果上传的文件被当成静态资源(如保存为 shell.php.jpg 或存放在禁止解析的目录),即使内容是 <?php system('ls'); ?>,也不会触发命令执行。
绕过上传校验后,写入的 PHP 文件必须能被直接访问并解析
典型利用链是:上传 → 绕过(如截断、双扩展、MIME伪造)→ 文件落地路径可预测 → 用浏览器或curl请求该 URL 触发解析。例如,若上传成功返回 http://target.com/uploads/2024/shell.php,且该路径下 Apache/Nginx 配置允许 .php 解析,则可执行其中代码。
- 常见绕过方式包括:
%00截断(旧版 PHP)、.php.jpg双扩展(依赖配置)、.phtml/.phar等备选扩展名 - 务必确认目标使用的是 PHP(不是 ASP.NET 或 Node.js),且未禁用危险函数(
system、exec、passthru等可能被disable_functions屏蔽) - 上传目录若无执行权限(如 Nginx 配置了
location ~ \.php$ { deny all; }),则即使文件存在也无法解析
最简可用的打印输出 payload 是 php echo shell_exec('whoami'); ?>
比起system或passthru,shell_exec更稳妥——它把命令结果作为字符串返回,配合echo能直接输出到 HTTP 响应体,适合盲打场景。注意不要用print_r($_FILES)这类调试代码,它不执行系统命令。
<?php
echo shell_exec('id');
echo '<br>';
echo shell_exec('ls -la /tmp');
?>
-
shell_exec返回null时通常表示命令失败或被禁用,可改用exec('cmd', $out); print_r($out);捕获多行输出 - 避免使用
`ls`反引号语法——部分环境会禁用,且易被 WAF 拦截 - 如果页面空白,先测试
<?php echo 'test'; ?>确认 PHP 解析正常,再排查命令执行限制
真实环境中disable_functions和open_basedir比文件上传逻辑更常成为障碍
很多 CTF 题目或老旧 CMS 允许上传,但生产环境 PHP 配置往往禁用全部执行函数,并限制脚本只能访问指定目录。此时即使上传成功,shell_exec('whoami') 也会静默失败。
立即学习“PHP免费学习笔记(深入)”;
- 可先尝试
<?php print_r(ini_get('disable_functions'));查看禁用列表 - 用
ini_get('open_basedir')确认当前作用域,避免对/etc/shadow等路径做无效尝试 - 若
shell_exec被禁但file_get_contents可用,可读取/proc/self/cmdline或/var/log/apache2/access.log进行间接利用
真正卡住的往往不是“怎么传”,而是“传完能不能跑、跑完有没有回显、回显被谁拦了”。
