日志分析触发PHP代码执行方法

本文深入剖析了日志分析过程中潜藏的严重安全风险——日志注入如何被恶意利用触发任意PHP代码执行，揭示了五种真实场景下的攻击链：从Apache/Nginx服务器日志因用户可控字段（如User-Agent、Referer、URI）未过滤而遭注入，到PHP内置服务器、WordPress插件及Tomcat+Nginx混合架构中日志文件被意外包含或错误解析，只要日志内容可被PHP引擎读取并执行，攻击者就能绕过常规防护，悄然获得服务器控制权；这些案例不仅暴露了日志处理中“信任输入”的致命误区，更警示开发者必须对所有日志写入和加载环节实施严格过滤、转义与权限隔离——你记录的每一行日志，都可能成为攻击者植入后门的跳板。

如果Web服务器日志中包含用户可控输入且日志文件被PHP解析执行，则可能通过日志注入触发任意PHP代码执行。以下是实现该行为的多种方法：

一、利用Apache访问日志包含User-Agent字段并被include

当PHP脚本使用include或require动态加载Apache访问日志，且攻击者能控制User-Agent头时，可将PHP代码注入日志并触发执行。

1、使用curl发送携带恶意User-Agent的请求：
curl -H "User-Agent: " http://target.com/index.php

2、确认日志路径，常见为/var/log/apache2/access.log或/var/log/httpd/access_log

3、构造PHP页面，内容为：

4、访问该PHP页面，服务器将解析日志中嵌入的并执行

5、若日志中存在PHP短标签未被禁用且log文件具有可读权限，则代码可成功执行

二、利用Nginx错误日志配合fastcgi_split_path_info

在Nginx + PHP-FPM配置中，若fastcgi_split_path_info正则存在缺陷，可能导致错误日志路径被解析为PHP脚本，从而将恶意payload写入error.log并触发执行。

1、向不存在的PHP路径发起请求，例如：http://target.com/xxx.php/xxx.jpg

2、在请求中注入PHP代码到URI或Referer头：
curl -H "Referer: " http://target.com/xxx.php/xxx.jpg

3、确认Nginx错误日志路径，通常为/var/log/nginx/error.log

4、访问一个可导致Nginx将error.log作为PHP脚本处理的特殊路径，如：http://target.com/xxx.jpg/.php

5、关键条件是Nginx配置中存在不安全的fastcgi_split_path_info正则且error.log被PHP-FPM解析

三、利用PHP内置Web服务器的日志注入

PHP内置服务器（php -S）默认将请求日志输出到STDOUT，但若开发者自定义日志写入文件且未过滤输入，可能造成日志文件被后续include操作执行。

1、启动PHP内置服务器并指定路由脚本：php -S 0.0.0.0:8000 router.php

2、在router.php中实现日志记录逻辑，例如：file_put_contents('app.log', $_SERVER['REQUEST_URI'] . "\n", FILE_APPEND);

3、发送含PHP代码的请求：curl "http://localhost:8000/"

4、确保另一处PHP代码执行include('app.log')或类似操作

5、必须满足日志文件路径可预测且写入内容未经过滤、未转义

四、利用WordPress插件日志功能写入可执行内容

部分WordPress插件（如WP Debug Log、Query Monitor）将调试信息或SQL查询记录至自定义日志文件，若日志内容未净化且该文件路径可通过主题或插件模板include，则构成执行链。

1、启用调试模式并在wp-config.php中设置define('WP_DEBUG_LOG', true);

2、触发插件记录敏感数据，例如构造含PHP代码的SQL查询或HTTP头

3、查找插件日志文件路径，常见为/wp-content/debug.log或/wp-content/plugins/plugin-name/logs/

4、创建模板文件（如page-log-exec.php），内容为：

5、需确保插件未对日志内容进行HTML实体编码或PHP标签过滤

五、利用Tomcat access log结合JSP解析漏洞间接触发PHP执行

在混合环境（如Nginx反代Tomcat + PHP-FPM共存）中，若Nginx将特定后缀（如.jsp）转发至PHP处理器，且Tomcat access.log被Nginx以PHP方式解析，则可通过伪造JSP请求将PHP代码写入access.log并触发。

1、向Tomcat发送含恶意User-Agent的请求：
curl -H "User-Agent: " http://tomcat-backend:8080/test.jsp

2、确认Tomcat access log路径，通常为$CATALINA_HOME/logs/access_log.yyyy-mm-dd

3、配置Nginx location块，使对*.jsp路径的请求由PHP-FPM处理而非代理至Tomcat

4、访问Nginx上对应日志文件路径，如http://nginx-proxy/access_log.2024-01-01

5、前提条件是Nginx配置错误导致日志文件扩展名匹配PHP处理器且无访问限制

到这里，我们也就讲完了《日志分析触发PHP代码执行方法》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！