今天第一次写博客,就写刚做的一道题学到的.user.ini吧。
什么是.user.ini
.user.ini看名字后缀就能猜到这是一个配置文件,说到配置文件,那肯定要提一提php.ini文件。php.ini文件是php的默认配置文件,其中包含了很多对php的配置信息,像我们常见的disable_functions、extension_dir等,这些配置分为四种模式
这些模式决定着一个 PHP 的指令在何时何地,是否能够被设定。手册中的每个指令都有其所属的模式。例如有些指令可以在 PHP 脚本中用 ini_set() 来设定,而有些则只能在 php.ini 或 httpd.conf 中。
例如 output_buffering 指令是属于 PHP_INI_PERDIR,因而就不能用 ini_set() 来设定。但是 display_errors 指令是属于 PHP_INI_ALL 因而就可以在任何地方被设定,包括 ini_set()。
明白了四种模式的区别,下面我们看看看一下官网对.user.ini的定义
也就是说,.user.ini文件中可以设置PHP_INI_USER和PHP_INI_PERDIR再加上PHP_INI_ALL模式里配置选项,而且.user.ini是动态加载的,默认是五分钟加载一次,但是注意,只有服务器运行在fastcgi模式下,.user.ini才会被动态加载,那么我们如何用.user.ini来创建一个后门呢?
这里PHP_INI_PERDIR里有两个特别的配置:
auto_append_fil,auto_prepend_file
auto_append_fil相当于在文件前调用require()函数。而auto_append_file是在文件后面包含。 使用方法很简单,直接写在.user.ini中。
实战
这道题可在buuctf上复现
文件上传测试:
一.发现该题目对上传的文件名字里不能包含‘ph’,与我们要上传的.user.ini,还是图片都无影响。
二.用exif_imagetype()对检测文件内容是否符合图片格式,可加入下面的幻数头字节绕过(注意,这里的头字节是二进制,用时要转化成文本格式)
JPG :FF D8 FF E0 00 10 4A 46 49 46
GIF:47 49 46 38 39 61
PNG: 89 50 4E 47
三:文件内容过滤了’<?’,可用<script language=‘php’>
上传完毕.user.ini和a.jpg,访问上传目录的index.php文件,上传代码得到执行,得知flag在根目录下,访问可得flag。
最后总结一下 文件上传中.user.ini使用条件:
1.服务器脚本语言为PHP
2.服务器使用CGI/FastCGI模式
3.上传目录下要有可执行的php文件
4.能上传带有php代码的文件
参考文章:
https://wooyun.js.org/drops/user.ini%E6%96%87%E4%BB%B6%E6%9E%84%E6%88%90%E7%9A%84PHP%E5%90%8E%E9%97%A8.html
https://xz.aliyun.com/t/6091#toc-1
6079
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
