存在四种PHP日志注入执行漏洞:一、错误日志包含;二、Apache访问日志注入结合LFI;三、自定义日志逻辑中eval/system调用;四、PHP Session日志覆盖。
如果Web应用程序将用户可控的输入写入日志文件,且日志内容后续被PHP解析执行,则可能通过构造恶意日志条目触发任意PHP代码执行。以下是实现该行为的几种方法:
一、利用错误日志包含漏洞
当PHP配置中启用log_errors且error_log指向可被Web访问的路径(如/var/www/html/logs/php_errors.log),攻击者可通过触发PHP错误使恶意代码写入日志,并借助include或require函数加载执行。
1、向目标页面提交包含PHP代码的超长URL或非法参数,例如:/index.php?x=。
2、等待服务器因语法错误或未定义变量生成错误日志,其中包含原始请求片段。
立即学习“PHP免费学习笔记(深入)”;
3、访问日志文件URL(如http://target.com/logs/php_errors.log)确认恶意代码已写入。
4、构造另一个请求,使应用使用include($_GET['file'])等函数加载该日志路径,例如:/process.php?file=logs/php_errors.log。
二、利用Apache访问日志注入与LFI结合
若Web服务器使用Apache并记录完整请求头,攻击者可在User-Agent或Referer字段注入PHP代码;当日志文件被PHP脚本以include方式动态加载时,注入代码将被执行。
1、使用curl发送带恶意User-Agent的请求:curl -H "User-Agent: " http://target.com/。
2、确认日志位置(常见为/var/log/apache2/access.log)及Web可访问性。
3、查找存在本地文件包含漏洞的PHP脚本(如vuln.php?page=),并传入日志路径:vuln.php?page=/var/log/apache2/access.log。
三、利用自定义日志写入逻辑中的eval或system调用
部分PHP应用在处理异常或审计事件时,直接将日志内容拼接进eval()、system()或shell_exec()等危险函数中执行,导致日志内容被当作代码解析。
1、识别应用中调用error_log($msg, 3, $file)后又对同一$file执行eval(file_get_contents($file))的代码段。
2、触发日志写入操作,传入含PHP代码的可控数据,例如:POST /api/submit.php { "action": "" }。
3、等待后台任务或定时脚本读取并执行该日志文件内容。
四、利用PHP Session日志覆盖
当session.save_handler设为files且session.save_path目录可预测、可写,攻击者可通过伪造Session ID并注入PHP代码到Session文件中;若应用使用include加载Session文件路径,则可触发执行。
1、获取目标应用Session Cookie(如PHPSESSID=abc123),并确定session.save_path(常见为/var/lib/php/sessions/)。
2、向应用发送请求,在Session数据中注入PHP代码:Cookie: PHPSESSID=../../../../var/lib/php/sessions/sess_test; 。
3、确保Session文件被写入且文件名可控(如sess_test)。
4、通过存在包含漏洞的接口加载该Session文件:/load.php?file=sess_test。
