.htaccess 和 .user.ini
Posted love17
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了.htaccess 和 .user.ini相关的知识,希望对你有一定的参考价值。
.htaccess
仅能用于apache下,并且内容严格,不能有错误行,如:GIF89a
.user.ini
php 5.3.0开始引入,可设置除了:PHP_INI_SYSTEM 外的其他,包括(PHP_INI_PERDIR
和 PHP_INI_USER
,PHP_INI_ALL),
不用重启服务器,默认每300秒加载一次。
可以引入错误行内容,如:GIF89a。
利用:
需要配合auto_prepend_file进行利用。(在执行一个php脚本前,会先require这个1.jpg文件)
GIF89a auto_prepend_file=1.jpg
在执行一个脚本前,都会先包含1.jpg文件。
利用条件:
1.服务器脚本语言为PHP
2.apache,iis,nginx都可以,只要服务器使用CGI/FastCGI模式
3.上传目录下要有可执行的php文件
参考:
https://www.php.net/manual/zh/configuration.file.per-user.php
https://www.php.net/manual/zh/ini.core.php#ini.auto-prepend-file
以上是关于.htaccess 和 .user.ini的主要内容,如果未能解决你的问题,请参考以下文章
文件上传漏洞练习 upload-labs(1~5)js过滤,MIME过滤,黑名单过滤,.htaccess文件攻击,.user,ini文件攻击