目录遍历漏洞可导致任意PHP代码执行,典型方法包括:一、日志文件包含;二、临时/上传文件包含;三、session文件包含;四、错误日志包含;五、.htaccess解析规则劫持。
如果攻击者通过目录遍历漏洞成功访问到服务器上本不应公开的 PHP 文件(如临时文件、日志文件、缓存文件或用户上传的文件),且该文件被 Web 服务器以 PHP 脚本方式解析执行,则可能触发任意 PHP 代码执行。以下是实现该行为的几种典型方法:
一、利用日志文件包含执行 PHP 代码
Web 服务器(如 Apache 或 Nginx)通常将访问日志写入固定路径(如 /var/log/apache2/access.log)。攻击者可通过构造恶意 User-Agent 或 URL 参数,将 PHP 代码注入日志文件;随后通过目录遍历路径包含该日志文件,触发 PHP 解析器执行其中的代码。
1、向目标站点发起带 PHP 代码的请求,例如在请求头中设置:User-Agent: php system('id'); ?>。
2、确认日志文件路径,常见路径包括:/var/log/apache2/access.log、/var/log/nginx/access.log 或 /var/log/httpd/access_log。
立即学习“PHP免费学习笔记(深入)”;
3、构造目录遍历 Payload 访问日志文件,例如:?file=../../../../var/log/apache2/access.log。
4、观察响应内容是否输出 uid=... 等命令执行结果,确认 PHP 成功执行。
二、利用临时文件或上传文件包含执行 PHP 代码
部分应用在处理文件上传时,会将文件暂存至系统临时目录(如 /tmp),并生成随机命名的临时文件;若临时文件名可预测或未清理,且后缀为 .php 或被 Web 服务器误解析为 PHP,则可通过遍历路径直接访问并执行。
1、上传一个内容为 的文件,观察响应头或返回信息中是否透露临时路径。
2、尝试常见临时路径组合,例如:?file=/tmp/phpXXXXXX 或 ?file=/tmp/upload_XXXXXXXXXX.php。
3、使用 Burp Suite 或 curl 配合字典爆破临时文件名后缀,如遍历 php[0-9a-f]{6} 模式。
4、成功访问后,通过 POST 请求发送 cmd=system('ls -la'); 触发代码执行。
三、利用 session 文件包含执行 PHP 代码
PHP 默认将 session 数据序列化后存储在文件中,路径通常为 /var/lib/php/sessions/,文件名格式为 sess_[session_id]。若应用将用户可控数据(如 $_SESSION 变量)未过滤写入 session,且 session 文件路径可被遍历访问,则可注入 PHP 代码并包含执行。
1、在请求中设置 Cookie:PHPSESSID=exploit,确保后续操作针对该会话 ID。
2、向应用提交可控数据,例如在表单字段中输入:,使其被存入 $_SESSION。
3、确认 session 存储路径,常见路径为:/var/lib/php/sessions/sess_exploit。
4、构造包含路径:?file=../../../../var/lib/php/sessions/sess_exploit,触发 PHP 解析器加载并执行 session 文件内容。
四、利用错误报告或调试文件包含执行 PHP 代码
某些开发环境启用 display_errors 或保存错误日志至 Web 可访问目录(如 /var/www/html/error.log),若错误日志中记录了包含 PHP 代码的异常输入(如未过滤的 $_GET 参数),则可通过遍历访问该日志文件实现代码执行。
1、触发一个 PHP 错误,同时在参数中注入代码,例如访问:/index.php?x=。
2、确认错误日志路径,检查是否生成于 Web 根目录下,如:/var/www/html/php_errors.log。
3、构造遍历路径读取该日志:?file=../../../../../var/www/html/php_errors.log。
4、若日志中保留了原始 PHP 标签且被服务器解析,则 phpinfo() 将被执行并输出配置信息。
五、利用 .htaccess 文件覆盖与解析规则劫持
若目标使用 Apache 且存在目录遍历漏洞,攻击者可能覆盖或读取 .htaccess 文件,通过写入 AddType 指令强制将特定扩展名(如 .jpg)解析为 PHP,再结合上传功能实现代码执行。
1、尝试读取当前目录下的 .htaccess 文件:?file=.htaccess 或 ?file=../../.htaccess。
2、若具有写权限,上传含指令的 .htaccess 文件,内容为:AddType application/x-httpd-php .jpg。
3、将 PHP 代码写入图片文件并上传,文件名为:shell.jpg。
4、通过目录遍历访问该文件:?file=uploads/shell.jpg,服务器按 PHP 执行其中代码。
