PHP安全审计：命令注入漏洞检测方法

本文系统介绍了PHP命令注入漏洞的五步扫描方法，涵盖从静态代码分析（危险函数正则匹配与数据流追踪）、文件包含路径安全检测，到动态运行时响应特征识别及PHP环境配置核查的完整审计链条，既适用于源码可得的白盒审计，也支持无源码的黑盒渗透测试，帮助安全人员精准定位因用户输入未经校验直通system、exec等危险函数而引发的远程命令执行风险，切实提升PHP应用的安全防护能力。

如果您正在对PHP项目进行安全审计，发现系统执行行为异常或日志中出现可疑命令调用，则可能是由于用户输入被直接传递给危险函数导致命令注入漏洞。以下是扫描此类漏洞的具体方法：

一、静态代码扫描危险函数调用

该方法通过正则匹配方式，在全部PHP文件中定位可能触发命令执行的函数，覆盖eval、system、exec等高危函数调用点，实现快速初筛。

1、准备一个包含所有危险函数名称的数组，例如：'eval'、'system'、'exec'、'shell_exec'、'passthru'、'popen'、'proc_open'、'assert'、'create_function'、'preg_replace'（含/e修饰符）。

2、使用RecursiveDirectoryIterator递归遍历项目根目录下所有.php文件路径。

3、对每个文件内容执行preg_match，匹配模式为/危险函数名\s*\([^)]*/，捕获函数名及紧邻括号内的参数表达式。

4、将匹配结果连同文件路径写入security_scan.log，标注疑似未过滤的变量来源，如$_GET、$_POST等。

二、追踪用户输入数据流向

该方法聚焦于识别外部可控数据是否未经净化即流入危险函数，强调上下文语义分析而非单纯字符串匹配，可有效识别拼接构造、变量间接引用等绕过模式。

1、提取所有全局输入变量：$_GET、$_POST、$_REQUEST、$_COOKIE、$_SERVER['HTTP_*']、$_FILES等。

2、对每个输入变量，在其首次赋值后，逐行向下追踪其被赋值、拼接、类型转换、函数参数传入等操作，直至抵达危险函数调用位置。

3、检查中间环节是否存在filter_var()、intval()、ctype_alnum()等校验逻辑，若仅存在trim()、str_replace()等非白名单处理，则标记为高风险路径。

4、特别关注形如$func = $_GET['action']; $func(); 或 call_user_func($_GET['callback']) 的动态函数调用场景，此类结构极易构成命令注入入口。

三、检测文件包含路径拼接

该方法专门识别include、require及其_once变体是否使用用户输入拼接文件路径，此类漏洞常被用于LFI配合log注入、phpinfo页面、临时文件等方式实现远程命令执行。

1、搜索所有include(、require(、include_once(、require_once(语句，并提取括号内完整表达式。

2、判断表达式是否包含$_GET、$_POST、$_REQUEST等变量，或是否经由变量间接赋值而来，例如$file = $_GET['page']; include $file . '.php';。

3、检查是否存在白名单校验逻辑，如in_array($file, ['home', 'about'])，若仅做后缀强制添加（如.$ext）而无前缀限制，则仍可利用../绕过并加载恶意PHP文件。

4、对路径中出现的basename()、dirname()、pathinfo()等函数调用，需人工验证其是否真正剥离了路径遍历字符，避免被%00、URL编码、双写编码绕过。

四、运行时日志与响应特征分析

该方法不依赖源码访问权限，适用于黑盒或灰盒测试场景，通过观察应用在特定Payload下的响应变化，推断底层是否存在命令执行逻辑。

1、向所有参数位置依次提交基础Payload：;id、|whoami、$(uname -a)、`ls /tmp`，观察HTTP状态码、响应体长度、响应时间是否发生显著变化。

2、若响应中出现类似uid=33(www-data)、Linux localhost 5.4.0、/tmp/xxx.php等系统特征字符串，基本确认命令注入已成功触发。

3、对返回为空或超时的情况，改用带延时的Payload，如;sleep 5、|ping -c 4 127.0.0.1，依据响应延迟判断执行效果。

4、检查服务器Access Log与Error Log，搜索包含sh、bash、id、whoami等关键词的记录，确认是否存在未回显但实际执行的命令痕迹。

五、配置项与禁用函数核查

该方法从PHP运行环境层面切入，检查php.ini中是否已主动禁用高危函数，若未禁用且代码中又存在调用，则风险等级直接升级为严重。

1、通过访问暴露phpinfo()的页面，或在可控代码段中插入，获取当前禁用函数列表。

2、比对列表是否包含system、exec、shell_exec、passthru、proc_open、popen、pcntl_exec等关键函数，若列表为空或仅含少数函数，则整个项目处于高危运行态。

3、检查display_errors是否为On，若开启且错误信息中暴露出exec() failed: No such file or directory等字样，说明命令执行函数已被调用但失败，需进一步探测可用命令。

4、确认allow_url_include是否为Off，若为On且存在文件包含点，可能扩展为远程命令执行通道。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《PHP安全审计：命令注入漏洞检测方法》文章吧，也可关注golang学习网公众号了解相关技术文章。