PHP代码审计:文件上传(.user.ini)绕过

Posted order by

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了PHP代码审计:文件上传(.user.ini)绕过相关的知识,希望对你有一定的参考价值。

upload-labs 05 源码:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) 
    if (file_exists(UPLOAD_PATH)) 
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) 
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) 
                $is_upload = true;
             else 
                $msg = '上传出错!';
            
         else 
            $msg = '此文件类型不允许上传!';
        
     else 
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    

代码分析:
这关过滤了.htaccess,而没有过滤.user.ini,我们来了解一下.user.ini在文件上传中的作用。

php.ini 是php默认的配置文件,其中包括了很多php的配置,我们可以在 php.ini配置PHP的基本功能,而.user.ini实际上就是一个可以由用户"自定义"的php.ini.

auto_append_file 、 auto_prepend_file 比较有意思,官方文档是这样描述
的,它可以在PHP文件执行时,去包含一个指定的文件当做代码去执行,就相当于
require()。


那在 .user.ini 中写入这句话,是不是就相当于在其他PHP文件执行时会自动包含
demo.jpg ,也就是说在其他PHP文件执行的时候,demo.jpg中的内容会被当做代码
去执行。

值得注意的是在我们测试upload-labs-03时,.htaccess需要在线程安全下才可以解析特殊后
缀,而这里恰恰相反,想要包含demo.jpg需要在非线程安全版本中才可以包含成功,
所以我们要将phpstudy调到nts版本。

上传绕过:
首先上传包含上述内容的.user.ini内容文件,然后上传包含有一句话木马的demo.jpg
然后去访问/upload/readme.php,成功包含demo.jpg

.user.ini后门/上传黑名单绕过

.user.ini文件自动包含木马文件(后门):

前提条件:

1.正常的php文件

2..user.ini文件

3.muma.gif图片马

利用步骤:

1、创建一个文件夹test,大家可能会有疑问,为什么还要再创建一个文件夹test,其实就是如果根目录本身就有user.ini的话,那么就会有影响,同样的会层层往上层目录寻找user.ini
技术图片

2、test.php 内容为<?php echo 1;?>

3、muma.gif内容为<?php if(@$_GET[‘shell‘]==‘test‘){phpinfo();}?>

4、在".user.ini"文件写入:auto_prepend_file=muma.gif

浏览器访问:http://127.0.0.1/test/test.php?shell=test 则出现的为phpinfo()函数执行的效果

原理:

参考文章:https://www.php.net/manual/zh/configuration.file.per-user.php (.user.ini的解释)
参考文章:https://www.php.net/manual/zh/ini.list.php (php的配置项)

.user.ini 风格的ini文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 模式的 INI 设置可被识别,这里就很清楚了,.user.ini实际上就是一个可以由用户"自定义"的php.ini,我们能够自定义的设置是模式为"PHP_INI_PERDIR 、 PHP_INI_USER"的设置。(上面表格中没有提到的PHP_INI_PERDIR,其实也可以在.user.ini中设置),实际上这里面没有说完整,其实除了PHP_INI_SYSTEM(里面包括了disable_functions、extension_dir、enable_dl)以外的模式(包括PHP_INI_ALL)都是可以通过.user.ini来设置的,其中有个配置项auto_prepend_file就可以被利用导致后门的生成。

技术图片

auto_prepend_file:指定一个文件,自动包含在要执行的文件前,类似于在文件前调用了require()函数。而auto_append_file类似,只是在文件后面包含。使用方法很简单,直接写在.user.ini中就可以了

疑问:.user.ini和.htaccess都可以作为后门,那有什么区别呢?

回答:它们两个都是动态加载,不需要web服务器进行重启生效,需要注意的就是.user.ini生效是根据user_ini.cache_ttl来决定的,默认是300s。比起.htaccess,.user.ini比用的更广,不管是nginx/apache/IIS,只要是以fastcgi运行的php都可以用这个方法。可谓很广,不像.htaccess有局限性。

参考文章:http://www.vuln.cn/6001


上传黑名单绕过:

某网站限制不允许上传.php文件,你便可以上传一个.user.ini,再上传一个图片马(如果只能上传jpg后缀的话),包含起来进行getshell。不过前提是含有.user.ini的文件夹下需要有正常的php文件,否则也不能包含了。

以上是关于PHP代码审计:文件上传(.user.ini)绕过的主要内容,如果未能解决你的问题,请参考以下文章

安全-Pass05之黑名单.user.ini绕过(upload-labs)

.user.ini导致文件上传绕过

PHP代码审计学习——文件上传

buuctf CheckIn

代码审计之php.ini配置详解

文件上传漏洞