PHP探针本身不支持批量检测,需通过外部脚本并发请求已知公开探针URL(如/phpinfo.php),解析响应中的“PHP Version”等特征来识别有效站点。
PHP探针本身不是设计用来批量检测的工具,它是个单点诊断页面(如 phpinfo.php),没有内置批量能力。想实现“批量检测站点”,本质是**自动化请求多个目标的探针页面,并解析返回的 PHP 环境信息**——这得靠外部脚本驱动,不是改探针就能解决。
为什么直接放多个探针文件没用
每个站点要能访问到探针,必须满足两个前提:你有权限上传文件 + 目标服务器允许执行 PHP。批量上传 phpinfo.php 到几十个不同域名?不现实,多数生产环境禁止写入 webroot,且 CDN、WAF、403/404 都会拦截。
真正可行的路径只有一条:已知某些站点**已经部署了公开可访的探针页**(比如测试环境遗留、开发者误传),你用脚本去轮询这些 URL 并提取关键字段。
- 典型可扫路径:
/phpinfo.php、/info.php、/test.php、/p.php - 必须加 HTTP 头(如
User-Agent)避免被 WAF 丢弃请求 - 响应体含
phpinfo()输出特征(如字符串"PHP Version"或"System => Linux")才视为命中
用 Python 快速实现批量探测
核心逻辑是并发发 GET 请求,检查状态码和响应内容。别用 shell curl 堆循环,慢且难处理超时/重试。
立即学习“PHP免费学习笔记(深入)”;
import requests
from concurrent.futures import ThreadPoolExecutor, as_completed
urls = [
"http://site1.com/phpinfo.php",
"http://site2.com/info.php",
"https://site3.org/test.php"
]
def check_probe(url):
try:
r = requests.get(url, timeout=5, headers={"User-Agent": "ProbeScanner/1.0"})
if r.status_code == 200 and "PHP Version" in r.text:
return url, "success", r.text.split("PHP Version")[1].split("<")[0].strip()
except Exception as e:
pass
return url, "failed", ""
with ThreadPoolExecutor(max_workers=10) as executor:
futures = [executor.submit(check_probe, u) for u in urls]
for f in as_completed(futures):
url, status, version = f.result()
print(f"{url} → {status} | {version}")
注意:requests 默认不解析 PHP 输出里的 HTML 实体,r.text 是原始响应体,匹配 "PHP Version" 比正则更稳;若需提取更多字段(如 upload_max_filesize),得用 BeautifulSoup 解析表格结构。
绕过常见拦截的实操要点
很多探针页加了访问控制,比如只允许内网或特定 IP。批量扫时容易被封或返回 403:
- 加 Referer 头模拟正常来源:
"Referer": "https://google.com" - 随机 User-Agent,避免被识别为扫描器
- 对返回 403 的 URL,尝试加路径后缀绕过规则:
/phpinfo.php?x=1、/phpinfo.php/ - 禁用重定向(
allow_redirects=False),防止跳转到登录页干扰判断 - DNS 缓存可能影响结果,用
requests.Session()复用连接提升稳定性
真正难的不是怎么扫,而是扫到之后怎么安全地用那些信息——比如发现某个站开着 display_errors=On 且暴露绝对路径,下一步该通知谁、是否触发漏洞验证,这些不在探针范畴内,但决定了批量动作有没有实际价值。
