Subject

UPLOAD 配置文件先走

Mind Palace

image

多半是文件上傳漏洞

image

繼續(xù)盲猜構(gòu)造文件幻術(shù)頭+AntSword連接

JPG ：FF D8 FF E0 00 10 4A 46 49 46
GIF(相當(dāng)于文本的GIF89a)：47 49 46 38 39 61
PNG： 89 50 4E 47

BP抓包并修改：

image

反饋：非法的后綴 => 有過(guò)濾

image

意外的收獲（其實(shí)其他的方式也嘗試了許多遍；比如：.phtml ..php ..phtml php3...）

最后發(fā)現(xiàn)應(yīng)該是后臺(tái)過(guò)濾了一個(gè).；最后加多加一個(gè)的話(huà)就剛好構(gòu)成可繞過(guò)的情況

但是由于文件名在那邊存儲(chǔ)的時(shí)候變成了upload.php.似乎沒(méi)辦法用AntSword連接

=== 查找資料 Ing ... Done ===

制作.user.ini文件并上傳

image

上傳upload.gif

image

成功找到index.php文件并訪(fǎng)問(wèn)：

image

連接：

[圖片上傳失敗...(image-1dccc4-1611673505699)]

獲得flag：

image

Look Ahead

先上傳配置文件改變后續(xù)上傳文件的作用 => 亮點(diǎn)

.user.ini比.htaccess用的更廣，不管是nginx/apache/IIS，只要是以fastcgi運(yùn)行的php都可以用這個(gè)方法。我的nginx服務(wù)器全部是fpm/fastcgi，我的IIS php5.3以上的全部用的fastcgi/cgi，我win下的apache上也用的fcgi，可謂很廣，不像.htaccess有局限性

從php.ini說(shuō)起：php.ini是php默認(rèn)的配置文件，其中包括了很多php的配置，這些配置中，又分為幾種：PHP_INI_SYSTEM、PHP_INI_PERDIR、PHP_INI_ALL、PHP_INI_USER

其中就提到了，模式為PHP_INI_USER的配置項(xiàng)，可以在ini_set()函數(shù)中設(shè)置、注冊(cè)表中設(shè)置，再就是.user.ini中設(shè)置。這里就提到了.user.ini

除了主 php.ini之外，PHP 還會(huì)在每個(gè)目錄下掃描 INI 文件，從被執(zhí)行的 PHP 文件所在目錄開(kāi)始一直上升到 web 根目錄（$_SERVER['DOCUMENT_ROOT'] 所指定的）。如果被執(zhí)行的 PHP 文件在 web 根目錄之外，則只掃描該目錄。在.user.ini風(fēng)格的 INI 文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 模式的 INI 設(shè)置可被識(shí)別

References:

https://www.cnblogs.com/Lmg66/p/13272575.html

https://blog.csdn.net/weixin_44077544/article/details/102688564

關(guān)于.user.ini：

https://wooyun.js.org/drops/user.ini%E6%96%87%E4%BB%B6%E6%9E%84%E6%88%90%E7%9A%84PHP%E5%90%8E%E9%97%A8.html

https://www.php.net/manual/zh/configuration.changes.modes.php

https://www.php.net/manual/zh/configuration.file.per-user.php

https://www.php.net/manual/zh/configuration.changes.php

END ヽ(｀⌒′)?