文件上传漏洞——.htaccess和.user.ini配置文件的应用

一 . htaccess配置文件

htaccess文件是Apache服务器中的一个配置文件,只对该文件所在的目录下的文件起作用。

在htaccess配置文件下有这样一条配置:

AddType application/x-httpd-php .php .jpg

这条配置的意思是,php和jpg格式的文件,都会被当做php文件解析;我们可以在追加其他的后缀名,都将其解析为php文件;但是这样未免有些繁琐。

所以还有另外一条配置:

SetHandler application/x-httpd-php

这条配置,会将该目录下的所有文件当做php文件进行解析。

下面列出一个示例:

在uploads-labs的第四关中,几乎过滤掉了所有的脚本文件文件,源码如下:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

我们可以上传.htaccess文件,内容为:

SetHandler application/x-httpd-php

然后上传:
文件上传漏洞——.htaccess和.user.ini配置文件的应用

接下来上传到该目录下的任何文件,都会被当做php文件处理,我们上传图片木马:
文件上传漏洞——.htaccess和.user.ini配置文件的应用
使用菜刀、蚁剑进行连接,获得webshell
文件上传漏洞——.htaccess和.user.ini配置文件的应用

但是,.htaccess文件只能针对Apache环境。

二 . user.ini配置文件

该配置文件同样也是目录的配置文件。.user.ini使用范围很广,不仅限于Apache服务器,同样适用于Nginx服务器,只要服务器启用了fastcgi模式(通常非线程安全模式使用的就是fastcgi模式)。

该配置文件有两个配置条件极其关键:

auto_prepend_file = < filename> // 包含在文件头
auto_append_file = < filename> // 包含在文件尾(遇到exit语句失效)

注意:

1.这两个配置项相当于文件包含 require()

2.该目录下必须存在.php文件

示例,ctfshow web入门 web153:

1.上传.user.ini配置文件,内容为:

auto_prepend_file = ctf.png (含有php代码的文件)

文件上传漏洞——.htaccess和.user.ini配置文件的应用

2.上传ctf.png,内容为一句话木马:
文件上传漏洞——.htaccess和.user.ini配置文件的应用

3.上传目录下要存在php文件,该题目上传目录下存在index.php,访问该php页面,并使用菜刀、蚁剑连接:
文件上传漏洞——.htaccess和.user.ini配置文件的应用

参考文献:.htaccess和.user.ini配置文件妙用

上一篇:Apache htaccess常用设置


下一篇:阿里云虚拟主机怎么做全站301重定向跳转?