PHP代码被意外执行主要因压缩包解压漏洞:一是ZipArchive路径遍历致Webshell写入;二是PHAR反序列化通过file_exists等函数触发;三是zip://流包装器间接加载恶意PHAR触发反序列化。
如果您在处理压缩包或解压操作时,发现PHP代码被意外执行,则可能是由于压缩包中包含恶意构造的文件或解压逻辑存在安全缺陷。以下是触发PHP代码执行的几种常见方法:
一、利用ZipArchive类的路径遍历漏洞
当使用PHP的ZipArchive::extractTo()方法解压时,若未对压缩包内文件路径进行校验,攻击者可构造含“../”的文件名,将PHP文件写入Web可访问目录并触发执行。
1、创建一个ZIP文件,其中包含名为../../webshell.php的文件,内容为。
2、在目标PHP脚本中调用ZipArchive::open()和ZipArchive::extractTo(),且未过滤归档内文件路径。
立即学习“PHP免费学习笔记(深入)”;
3、访问解压后生成的/webshell.php?cmd=ls,即可执行系统命令。
二、通过PHAR反序列化触发代码执行
PHAR文件格式允许在元数据中嵌入序列化对象,当使用file_exists()、fopen()、file_get_contents()等函数操作恶意PHAR时,若目标环境启用了phar.stream.wrapper且存在可用的反序列化链,将自动触发__destruct()等魔术方法。
1、构造一个PHAR文件,设置stub为,并写入恶意序列化数据到metadata。
2、修改PHAR文件签名,并重命名为exploit.phar。
3、在目标代码中调用file_exists('phar://exploit.phar'),触发反序列化及后续代码执行。
三、利用unzip命令注入执行PHP代码
当PHP脚本通过exec()、shell_exec()等函数调用系统unzip命令解压用户上传的ZIP文件,且未对文件名做转义时,攻击者可通过构造特殊文件名实现命令注入。
1、上传一个ZIP文件,其文件名包含shell元字符,例如shell.zip; php -r 'system($_GET[cmd]);' > web.php。
2、服务端执行类似unzip $_FILES['zip']['tmp_name']的命令,因未过滤输入导致命令拼接执行。
3、请求生成的web.php?cmd=id,获得命令执行结果。
四、借助压缩包中的.htaccess覆盖触发解析
在Apache环境中,若解压操作将恶意.htaccess文件写入Web目录,可强制服务器将特定扩展名(如.jpg)作为PHP解析,从而绕过上传限制并执行代码。
1、在ZIP中添加一个.htaccess文件,内容为AddType application/x-httpd-php .jpg。
2、同时放入一个伪装为图片的PHP文件,例如shell.jpg,内容为。
3、解压后访问/upload/shell.jpg,服务器按PHP解析并执行代码。
五、利用PHP内置Zip流包装器加载恶意PHAR
PHP支持zip://流协议,可直接从ZIP包中读取文件。若应用使用zip://读取用户可控路径,且该ZIP内含PHAR结构,可能间接触发PHAR反序列化。
1、构造一个ZIP文件,内部嵌套一个PHAR文件(如payload.phar),且该PHAR具备有效stub和序列化metadata。
2、上传ZIP后,服务端执行file_get_contents('zip://uploaded.zip#payload.phar')。
3、若PHP配置允许phar流且存在反序列化利用链,将触发__wakeup或__destruct中的危险操作。
