0x00 知识点
- 利用.user.ini文件的文件上传
- 利用利用GIF89a文件头绕过exif_imagetype()的检测。
0x01 知识点讲解
- 什么是.user.ini文件?
答:.user.ini文件相当于一个用户可以自定义的php.ini文件,但是有一点限制就是不能定义PHP_INI_SYSTEM模式,而在执行php代码之前,系统会对.user.ini先做一个执行,然后才执行其他的php文件。 - 怎么利用.user.ini文件?
答:我们可以在.user.ini文件中写入auto_prepend_file函数,auto_prepend_file表示在php程序加载第一个php代码前加载的php文件,这时候我们就可以引入一个我们自己所写的php文件,也就是一个一句话木马。 - 使用的条件?
答:
(1)服务器脚本语言为PHP
(2) 对应目录下面有可执行的php文件
(3)服务器使用CGI/FastCGI模式
想要知道更多细节的可以看看这篇大佬的博客
0x02 解题思路
-
打开网站看看是什么题目