文件上传漏洞命令执行方法

本文深入剖析PHP文件上传漏洞触发命令执行的真实条件与实战要点，破除“上传即执行”的常见误解——关键在于上传文件必须被Web服务器正确解析为PHP且内容含可执行代码；文章系统梳理了从绕过校验（如%00截断、双扩展、备选后缀）、确保路径可访问与解析，到选择shell_exec等稳健命令执行函数的完整利用链，并特别强调disable_functions和open_basedir等生产环境常见限制往往比上传逻辑本身更难突破，为红队渗透与安全研究者提供兼具原理深度与实操价值的技术指南。

PHP文件上传漏洞本身不会自动执行print或system命令

这是个常见误解：单纯上传一个 PHP 文件（比如 shell.php），并不等于服务器会立刻执行它。关键取决于两个条件：文件是否被 Web 服务器解析为 PHP，以及该文件内容是否包含可执行的 PHP 代码。如果上传的文件被当成静态资源（如保存为 shell.php.jpg 或存放在禁止解析的目录），即使内容是 ，也不会触发命令执行。

绕过上传校验后，写入的 PHP 文件必须能被直接访问并解析

典型利用链是：上传 → 绕过（如截断、双扩展、MIME伪造）→ 文件落地路径可预测 → 用浏览器或curl请求该 URL 触发解析。例如，若上传成功返回 http://target.com/uploads/2024/shell.php，且该路径下 Apache/Nginx 配置允许 .php 解析，则可执行其中代码。

• 常见绕过方式包括：%00 截断（旧版 PHP）、.php.jpg 双扩展（依赖配置）、.phtml/.phar 等备选扩展名
• 务必确认目标使用的是 PHP（不是 ASP.NET 或 Node.js），且未禁用危险函数（system、exec、passthru 等可能被disable_functions 屏蔽）
• 上传目录若无执行权限（如 Nginx 配置了 location ~ \.php$ { deny all; }），则即使文件存在也无法解析

最简可用的打印输出 payload 是

比起system或passthru，shell_exec更稳妥——它把命令结果作为字符串返回，配合echo能直接输出到 HTTP 响应体，适合盲打场景。注意不要用print_r($_FILES)这类调试代码，它不执行系统命令。

<?php
echo shell_exec('id');
echo '<br>';
echo shell_exec('ls -la /tmp');
?>

• shell_exec 返回null时通常表示命令失败或被禁用，可改用exec('cmd', $out); print_r($out);捕获多行输出
• 避免使用`ls`反引号语法——部分环境会禁用，且易被 WAF 拦截
• 如果页面空白，先测试确认 PHP 解析正常，再排查命令执行限制

真实环境中disable_functions和open_basedir比文件上传逻辑更常成为障碍

很多 CTF 题目或老旧 CMS 允许上传，但生产环境 PHP 配置往往禁用全部执行函数，并限制脚本只能访问指定目录。此时即使上传成功，shell_exec('whoami') 也会静默失败。

• 可先尝试查看禁用列表
• 用ini_get('open_basedir')确认当前作用域，避免对/etc/shadow等路径做无效尝试
• 若shell_exec被禁但file_get_contents可用，可读取/proc/self/cmdline或/var/log/apache2/access.log进行间接利用

真正卡住的往往不是“怎么传”，而是“传完能不能跑、跑完有没有回显、回显被谁拦了”。

今天关于《文件上传漏洞命令执行方法》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！