文件上传如何触发php代码执行_文件上传触发php代码执行方法【注意】

上传文件被当作PHP解析可致远程代码执行，常见路径有五：一、绕过后缀检查上传含代码的伪装文件；二、Apache下用.htaccess强制解析；三、Nginx CVE-2013-4547路径解析漏洞；四、PHAR反序列化利用；五、IIS短文件名绕过。

如果上传的文件被服务器当作PHP脚本解析并执行，则可能造成远程代码执行风险。以下是实现该行为的常见技术路径：

一、上传含PHP代码的文件并绕过扩展名检查

部分应用仅校验文件后缀名，未验证文件内容或MIME类型，攻击者可将PHP代码保存为看似合法的图片文件（如.jpg），再通过服务端配置缺陷触发解析。

1、使用文本编辑器创建文件，写入<?php phpinfo(); ?>，保存为shell.jpg。

2、在上传表单中选择该文件，同时使用抓包工具（如Burp Suite）拦截请求。

立即学习“PHP免费学习笔记（深入）”；

3、修改HTTP请求中Content-Disposition字段的filename值，将shell.jpg改为shell.php。

4、若服务端仅依赖前端或简单后缀白名单，该请求可能成功上传并生成可访问的PHP文件。

二、利用Apache解析漏洞（.htaccess覆盖）

当目标使用Apache且允许用户上传.htaccess文件时，可通过自定义规则强制特定扩展名按PHP模块解析。

1、构造内容为AddType application/x-httpd-php .jpg的.htaccess文件。

2、上传该文件至Web可写目录（如/uploads/）。

3、上传另一张含PHP代码的图片文件，命名为test.jpg。

4、访问http://target.com/uploads/test.jpg，Apache将按PHP方式解析并执行其中代码。

三、利用Nginx文件名逻辑解析漏洞（CVE-2013-4547）

Nginx在处理带空格和斜杠的文件路径时存在解析歧义，可使非PHP文件被当作PHP执行。

1、准备含PHP代码的文件，命名为shell.jpg。

2、上传后，构造URL访问：http://target.com/uploads/shell.jpg%20/1.php。

MVM mall 网上购物系统

采用 php+mysql 数据库方式运行的强大网上商店系统，执行效率高速度快，支持多语言，模板和代码分离，轻松创建属于自己的个性化用户界面 v3.5更新： 1).进一步静态化了活动商品. 2).提供了一些重要UFT-8转换文件 3).修复了除了网银在线支付其它支付显示错误的问题. 4).修改了LOGO广告管理,增加LOGO链接后主页LOGO路径错误的问题 5).修改了公告无法发布的问题,可能是打压

0

查看详情

3、Nginx将忽略%20/1.php部分，但将shell.jpg交由后端PHP-FPM处理。

4、PHP-FPM默认不校验原始请求路径，直接执行shell.jpg中的PHP代码。

四、上传用户可控的PHAR文件并触发反序列化

当应用存在未过滤的反序列化点且启用phar://协议时，上传恶意PHAR可间接执行代码。

1、使用PHP构建PHAR文件，在stub中嵌入__HALT_COMPILER();，并在meta-data中注入恶意反序列化对象。

2、设置PHAR文件后缀为.jpg，并禁用签名以绕过校验。

3、上传该文件至服务器，获取其可访问路径（如/uploads/malicious.jpg）。

4、在存在unserialize()调用的功能点中，传入phar://./uploads/malicious.jpg作为参数。

5、PHP将解析PHAR并触发反序列化链中的__destruct()等魔术方法。

五、利用IIS短文件名特性结合解析顺序

IIS在启用短文件名功能时，会为长文件名生成8.3格式别名，配合特定解析顺序可导致PHP文件被误识别为静态资源后仍被解析。

1、上传shell.php，确认其短文件名为shell~1.php。

2、尝试访问http://target.com/uploads/shell~1.php，观察是否返回PHP执行结果。

3、若IIS配置将.php映射至PHP-CGI且未禁用短名，该请求将直接交由PHP引擎处理。

4、即使上传目录无直接执行权限，短文件名仍可能绕过路径级限制。

以上就是文件上传如何触发php代码执行_文件上传触发php代码执行方法【注意】的详细内容，更多请关注php中文网其它相关文章！