目录遍历触发PHP代码执行方法详解

目录遍历漏洞可导致任意PHP代码执行，典型方法包括：一、日志文件包含；二、临时/上传文件包含；三、session文件包含；四、错误日志包含；五、.htaccess解析规则劫持。

如果攻击者通过目录遍历漏洞成功访问到服务器上本不应公开的 PHP 文件（如临时文件、日志文件、缓存文件或用户上传的文件），且该文件被 Web 服务器以 PHP 脚本方式解析执行，则可能触发任意 PHP 代码执行。以下是实现该行为的几种典型方法：

一、利用日志文件包含执行 PHP 代码

Web 服务器（如 Apache 或 Nginx）通常将访问日志写入固定路径（如 /var/log/apache2/access.log）。攻击者可通过构造恶意 User-Agent 或 URL 参数，将 PHP 代码注入日志文件；随后通过目录遍历路径包含该日志文件，触发 PHP 解析器执行其中的代码。

1、向目标站点发起带 PHP 代码的请求，例如在请求头中设置：User-Agent: 。

2、确认日志文件路径，常见路径包括：/var/log/apache2/access.log、/var/log/nginx/access.log 或 /var/log/httpd/access_log。

3、构造目录遍历 Payload 访问日志文件，例如：?file=../../../../var/log/apache2/access.log。

4、观察响应内容是否输出 uid=... 等命令执行结果，确认 PHP 成功执行。

二、利用临时文件或上传文件包含执行 PHP 代码

部分应用在处理文件上传时，会将文件暂存至系统临时目录（如 /tmp），并生成随机命名的临时文件；若临时文件名可预测或未清理，且后缀为 .php 或被 Web 服务器误解析为 PHP，则可通过遍历路径直接访问并执行。

1、上传一个内容为 的文件，观察响应头或返回信息中是否透露临时路径。

2、尝试常见临时路径组合，例如：?file=/tmp/phpXXXXXX 或 ?file=/tmp/upload_XXXXXXXXXX.php。

3、使用 Burp Suite 或 curl 配合字典爆破临时文件名后缀，如遍历 php[0-9a-f]{6} 模式。

4、成功访问后，通过 POST 请求发送 cmd=system('ls -la'); 触发代码执行。

三、利用 session 文件包含执行 PHP 代码

PHP 默认将 session 数据序列化后存储在文件中，路径通常为 /var/lib/php/sessions/，文件名格式为 sess_[session_id]。若应用将用户可控数据（如 $_SESSION 变量）未过滤写入 session，且 session 文件路径可被遍历访问，则可注入 PHP 代码并包含执行。

1、在请求中设置 Cookie：PHPSESSID=exploit，确保后续操作针对该会话 ID。

2、向应用提交可控数据，例如在表单字段中输入：，使其被存入 $_SESSION。

3、确认 session 存储路径，常见路径为：/var/lib/php/sessions/sess_exploit。

4、构造包含路径：?file=../../../../var/lib/php/sessions/sess_exploit，触发 PHP 解析器加载并执行 session 文件内容。

四、利用错误报告或调试文件包含执行 PHP 代码

某些开发环境启用 display_errors 或保存错误日志至 Web 可访问目录（如 /var/www/html/error.log），若错误日志中记录了包含 PHP 代码的异常输入（如未过滤的 $_GET 参数），则可通过遍历访问该日志文件实现代码执行。

1、触发一个 PHP 错误，同时在参数中注入代码，例如访问：/index.php?x=。

2、确认错误日志路径，检查是否生成于 Web 根目录下，如：/var/www/html/php_errors.log。

3、构造遍历路径读取该日志：?file=../../../../../var/www/html/php_errors.log。

4、若日志中保留了原始 PHP 标签且被服务器解析，则 phpinfo() 将被执行并输出配置信息。

五、利用 .htaccess 文件覆盖与解析规则劫持

若目标使用 Apache 且存在目录遍历漏洞，攻击者可能覆盖或读取 .htaccess 文件，通过写入 AddType 指令强制将特定扩展名（如 .jpg）解析为 PHP，再结合上传功能实现代码执行。

1、尝试读取当前目录下的 .htaccess 文件：?file=.htaccess 或 ?file=../../.htaccess。

2、若具有写权限，上传含指令的 .htaccess 文件，内容为：AddType application/x-httpd-php .jpg。

3、将 PHP 代码写入图片文件并上传，文件名为：shell.jpg。

4、通过目录遍历访问该文件：?file=uploads/shell.jpg，服务器按 PHP 执行其中代码。