备份过程中PHP代码执行通常源于可解析的备份文件、反序列化漏洞、SQL导入命令注入、Web服务器配置错误或LFI与日志备份组合。需分别检查Web路径文件、phar/unserialize使用、mysql命令调用、.htaccess/Nginx配置及LFI利用链,并采取移除、禁用、替换和加固措施。
如果在数据备份过程中意外触发了PHP代码执行,这通常意味着备份文件中存在可被Web服务器解析的PHP脚本,或备份机制本身调用了不安全的PHP函数。以下是几种常见触发场景及对应的操作方法:
一、通过Web可访问的备份文件路径触发
当数据库导出文件(如.sql)或压缩包(如.zip)被上传至Web根目录下且未被正确屏蔽,部分服务器配置可能将特定后缀(如.phar、.phtml)或利用MIME类型混淆导致PHP解析器执行其中嵌入的代码。
1、检查Web服务器文档根目录下是否存在以.php、.phtml、.phar、.php5等为扩展名的备份文件。
2、使用curl命令验证该文件是否被解析:curl http://example.com/backup_2024.php,观察响应体是否包含PHP执行输出而非原始源码。
立即学习“PHP免费学习笔记(深入)”;
3、若确认可执行,立即重命名或移除该文件,并检查文件生成逻辑是否将用户可控内容写入可解析路径。
二、利用tar/phar反序列化漏洞触发
某些PHP备份脚本使用unserialize()直接解析用户上传的tar或phar归档元数据,攻击者可通过构造恶意phar文件,在解包时触发__destruct()等魔术方法中的代码执行。
1、确认备份功能是否调用类似phar://协议读取归档:file_get_contents('phar://backup.zip/meta')。
2、检查php.ini中是否禁用phar相关配置:phar.readonly = Off 和 auto_prepend_file 是否被篡改。
3、审查代码中所有对unserialize()、phar://、zip://的使用点,替换为json_decode()或白名单校验后的反序列化。
三、通过数据库备份导入功能触发
部分管理后台提供“从SQL文件恢复数据库”功能,若未过滤输入且使用system()、exec()等函数调用mysql命令行工具,则SQL文件中的注释块可能被注入shell命令。
1、定位导入功能对应的PHP文件,搜索关键词:exec(.*?mysql|system(.*?mysql|passthru(.*?mysql。
2、检查传入mysql命令的参数是否经过escapeshellarg()处理,特别关注SQL文件路径变量是否来自$_FILES或$_GET。
3、临时禁用该功能,改用mysqli::multi_query()等纯PHP方式执行SQL语句,避免调用外部进程。
四、利用.htaccess或Nginx配置错误触发
备份文件夹若包含用户上传的.htaccess(Apache)或误配的Nginx location块,可能导致非PHP文件被当作PHP解析,进而执行其中的PHP标签。
1、进入备份目录,运行ls -la查看是否存在.htaccess文件。
2、检查该文件内容是否含AddType application/x-httpd-php .jpg等危险指令。
3、在Web服务器全局配置中添加限制规则:Apache下设置AllowOverride None;Nginx下在备份目录location中加入deny all;并移除fastcgi_pass继承。
五、通过日志文件备份与LFI组合触发
若系统存在本地文件包含漏洞(LFI),而备份脚本又将错误日志、访问日志打包下载,则攻击者可先向日志注入PHP代码,再通过备份功能下载并包含执行。
1、测试是否存在LFI:访问?file=../../../../var/log/apache2/access.log,确认日志内容是否回显。
2、向目标服务发送含PHP代码的HTTP请求:curl -H "User-Agent: " http://example.com/。
3、触发备份功能下载日志文件,再通过LFI路径包含该备份包内的日志片段,完成代码执行链。
