存在四种 php 日志注入执行漏洞:一、错误日志包含;二、apache访问日志注入结合 LFI;三、自定义日志逻辑中 eval/system 调用;四、PHP session日志覆盖。
如果 web 应用程序 将用户可控的输入写入日志文件,且日志内容后续被 php 解析 执行,则可能通过构造恶意日志条目触发任意 PHP 代码执行。以下是实现该行为的几种方法:
一、利用错误日志包含漏洞
当 PHP 配置中启用 log_errors 且error_log指向可被 Web 访问的路径(如 /var/www/html/logs/php_errors.log),攻击者可通过触发 PHP 错误使恶意代码写入日志,并借助include 或require函数加载执行。
1、向目标页面提交包含 PHP 代码的超长 URL 或非法参数,例如:/index.php?x=。
2、等待服务器因语法错误或未定义变量生成错误日志,其中包含原始请求片段。
立即学习“PHP 免费学习笔记(深入)”;
3、访问日志文件 URL(如http://target.com/logs/php_errors.log)确认恶意代码已写入。
4、构造另一个请求,使应用使用 include($_GET['file']) 等函数加载该日志路径,例如:/process.php?file=logs/php_errors.log。
二、利用 Apache 访问日志注入与 LFI 结合
若 Web 服务器使用 Apache 并记录完整请求头,攻击者可在 User-Agent 或 Referer 字段注入 PHP 代码;当日志文件被 PHP 脚本以 include 方式动态加载时,注入代码将被执行。
1、使用 curl 发送带恶意 User-Agent 的请求:curl -H “User-Agent: ” http://target.com/。
2、确认日志位置(常见为/var/log/apache2/access.log)及 Web 可访问性。
3、查找存在本地文件包含漏洞的 PHP 脚本(如vuln.php?page=),并传入日志路径:vuln.php?page=/var/log/apache2/access.log。
三、利用自定义日志写入逻辑中的 eval 或 system 调用
部分 PHP 应用在处理异常或审计 事件 时,直接将日志内容拼接进 eval()、system() 或shell_exec()等危险函数中执行,导致日志内容被当作代码解析。
1、识别应用中调用 error_log($msg, 3, $file) 后又对同一 $file 执行 eval(file_get_contents($file)) 的代码段。
2、触发日志写入操作,传入含 PHP 代码的可控数据,例如:POST /api/submit.php {“action”: “” }。
3、等待后台任务或定时脚本读取并执行该日志文件内容。
四、利用 PHP Session 日志覆盖
当 session.save_handler 设为 files 且session.save_path目录可预测、可写,攻击者可通过伪造 Session ID 并注入 PHP 代码到 Session 文件中;若应用使用 include 加载 Session 文件路径,则可触发执行。
1、获取目标应用 Session cookie(如PHPSESSID=abc123),并确定session.save_path(常见为/var/lib/php/sessions/)。
2、向应用发送请求,在 Session 数据中注入 PHP 代码:Cookie: PHPSESSID=../../../../var/lib/php/sessions/sess_test; 。
3、确保 Session 文件被写入且文件名可控(如sess_test)。
4、通过存在包含漏洞的 接口 加载该 Session 文件:/load.php?file=sess_test。
以上就是日志记录怎样触发
