感觉这题师傅们已经写得很详细了,我就做一个思路梳理吧,顺道学一波.user.ini

步骤:

1.上传一个“.user.ini”文件

2.上传自己的马“a.jpg”

3.菜刀连接 "http://b302f16c-6762-4496-be93-e544912aaf0d.node3.buuoj.cn/uploads/f4e7685fe689f675c85caeefaedcf40c/index.php",密码“pass”

解析:

<?php

// error_reporting(0);

$userdir = "uploads/" . md5($_SERVER["REMOTE_ADDR"]);

if (!file_exists($userdir))

{

    mkdir($userdir, 0777, true);

}

/*

这里创建的目录是777的权限,很nice~

*/

file_put_contents($userdir . "/index.php", "");

if (isset($_POST["upload"]))

 {

    $tmp_name = $_FILES["fileUpload"]["tmp_name"];

    $name = $_FILES["fileUpload"]["name"];

    if (!$tmp_name)

   {

        die("filesize too big!");

    }

    if (!$name)

   {

        die("filename cannot be empty!");

    }

    $extension = substr($name, strrpos($name, ".") + 1);

    /*

      得到后缀

    */

    if (preg_match("/ph|htacess/i", $extension))

   {

        die("illegal suffix!");

    }

    /*

        正则过滤 .htacess ,各种php类型,有了一个“i”连大小写绕过都不行

    */

    if (mb_strpos(file_get_contents($tmp_name), "<?") !== FALSE)

   {

        die("<? in contents!");

    }

    /*

        过滤了 " <? " ,这个加上上面一条过滤,htacess的图片马和一句话基本都挂了

    */

    $image_type = exif_imagetype($tmp_name);

    if (!$image_type)

  {

        die("exif_imagetype:not image!");

    }

    /*

        要修改一下 “Content-Type”的值

   */

    $upload_file_path = $userdir . "/" . $name;

    move_uploaded_file($tmp_name, $upload_file_path);

    echo "Your dir " . $userdir. ' <br>';

    echo 'Your files : <br>';

    var_dump(scandir($userdir));

}
  • .user.ini 类似.htaccess文件

    • 它比.htaccess用的更广,不管是nginx/apache/IIS,只要是以fastcgi运行的php都可以用这个方法
    • .user.ini实际上就是一个可以由用户“自定义”的php.ini 
    • 我修改了.user.ini后,不需要重启服务器中间件,只需要等待user_ini.cache_ttl所设置的时间(默认为300秒),即可被重新加载 
  • .user.ini 利用条件如下:
    • 服务器脚本语言为PHP
    • 服务器使用CGI/FastCGI模式
    • 上传目录下要有可执行的php文件

  • auto_prepend_file,auto_append_file 

    • 类似于在文件前调用了require()函数
    • 是一个php配置项

    • 该配置项会让php文件在执行前先包含一个指定的文件,通过这个配置项,我们就可以来隐藏自己的后门

    • auto_prepend_file 表示在php程序加载第一个php代码前加载的php文件,auto_append_file 是在php代码执行完毕后加载的文件

参考:

https://blog.csdn.net/weixin_42499640/article/details/99764087

https://xz.aliyun.com/t/6091

https://blog.csdn.net/weixin_33694172/article/details/87981584

最新文章

  1. 浅谈C++多态性
  2. [css3]圆盘旋转动画
  3. BZOJ 2200 道路与航线
  4. gratitute
  5. 自定义JSP标签实现语言国际化(类似struts text标签),并同时支持图片、JS文件国际化
  6. 疯狂的补贴,广州司机都被Uber触动
  7. 飘逸的python - 发送带各种类型附件的邮件
  8. Zepto源码分析(二)奇淫技巧总结
  9. [译]百里挑一:21个优质Swift开源App
  10. 一种非常巧妙的读取串口数据的方法--C#
  11. SpringCloud Alibaba-nacos注册中心
  12. vue插件官方文档,做个记录
  13. [转载] spring aop 环绕通知around和其他通知的区别
  14. python中线程2
  15. 2018牛客网暑假ACM多校训练赛(第八场)H Playing games 博弈 FWT
  16. c#判断是否有网络
  17. day20kafka
  18. Codeforces Beta Round #40 (Div. 2)
  19. MongoDB文档的增删改操作
  20. 《DSP using MATLAB》Problem 4.8

热门文章

  1. Vagrant 手册之 Vagrantfile - 概述
  2. Vue事件总线
  3. 【BASIS系列】SAP BASIS模块-后台配置的传输
  4. LeetCode 230. Kth Smallest Element in a BST 动态演示
  5. VS2012不显示最近打开的文件
  6. python的包
  7. 转 Python selenium 强制等待显示等待隐式等待
  8. [Python3] 024 面向对象 第四弹
  9. 贪吃蛇大作战canvas实现(手机触屏操作)--地图逻辑
  10. 对于nginx配置文件中的fastcgi_param相关参数的理解