图像处理中PHP代码执行主要通过五种方式:一、利用EXIF等元数据嵌入并动态执行;二、构造恶意GIF触发内存漏洞执行PHP标签;三、结合LFI与路径遍历使图像被当作PHP解析;四、借助ImageMagick命令注入间接执行PHP;五、利用GD库字体路径协议加载执行PHP代码。
如果在图像处理过程中意外触发了PHP代码执行,通常是因为图像文件被恶意构造,利用了图像解析库的漏洞或不当配置。以下是几种可能触发PHP代码执行的具体方法:
一、利用图像元数据嵌入PHP代码
某些图像处理库(如exif_read_data、getimagesize)在解析图像时会读取并处理EXIF、IPTC或XMP等元数据段,若后端未过滤且将元数据内容直接写入可执行路径或动态eval,可能导致代码执行。
1、使用十六进制编辑器打开一张合法JPG文件,在APP1段(EXIF区域)末尾插入php phpinfo(); ?>字节序列。
2、保存修改后的文件,并上传至支持EXIF解析且未清理元数据的Web应用接口。
立即学习“PHP免费学习笔记(深入)”;
3、当服务端调用exif_read_data()并将其返回值拼接到include或eval中时,PHP代码将在服务器上下文中被执行。
二、构造恶意GIF89a文件触发PHP内置函数漏洞
GIF文件头包含固定标识符GIF89a,部分老旧PHP环境配合gd库或自定义解析逻辑时,若对GIF逻辑屏幕描述符或图像数据块缺乏边界校验,可能引发内存越界读写,进而控制执行流。
1、创建一个GIF文件,在图像数据块中嵌入shellcode风格的PHP标签字符串,例如\x3C\x3F\x70\x68\x70\x20\x65\x63\x68\x6F\x20\x27\x78\x73\x73\x27\x3B\x3F\x3E。
2、确保该GIF被upload.php接收后交由imagecreatefromgif()加载,且后续流程中存在未消毒的输出或反序列化操作。
3、当图像处理结果被用于动态文件名拼接或模板渲染时,嵌入的PHP标签可能被当作可执行脚本解析。
三、利用PHP文件包含功能配合图像上传路径遍历
当图像上传后存储路径可控,且应用存在LFI(本地文件包含)漏洞时,攻击者可通过构造特殊文件名绕过扩展名检测,使图像文件被当作PHP脚本解释执行。
1、上传文件名设为shell.jpg.php或shell.php%00.jpg,依赖服务器配置(如Apache的MultiViews或Nginx的fastcgi_split_path_info误配)。
2、上传内容为合法图像头部+PHP代码,例如GIF89a\r\n。
3、通过包含类似?img=uploads/shell.jpg.php的参数,触发PHP引擎对图像文件的脚本解析。
四、借助ImageMagick的命令注入特性调用PHP系统函数
若服务器使用ImageMagick作为后端图像处理引擎,并通过exec()、system()等函数调用convert命令,且用户输入未过滤,可能造成命令注入,间接执行PHP代码。
1、上传一个PNG文件,在其注释块(tEXt chunk)中写入') | php -r "echo shell_exec($_GET['e']);" | ('。
2、服务端调用exec("convert {$input} {$output}")时,ImageMagick解析恶意注释触发Shell命令拼接。
3、当PHP解释器存在于系统PATH中,任意PHP代码可通过shell_exec等函数被远程执行。
五、利用PHP GD库字体渲染函数的回调机制
GD库的imagettftext()等函数支持字体文件路径传入,若路径由用户控制且未限制协议处理器,可能触发php://filter或data://协议读取并执行PHP代码。
1、构造字体路径参数为data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8+,该base64解码后为标准PHP标签。
2、调用imagettftext($im, 12, 0, 10, 20, $color, $_GET['font'], 'test');,其中$_GET['font']即上述data://URL。
3、在特定GD版本与PHP配置组合下,字体加载过程会触发PHP引擎对data://内容的解析执行。
