.htaccess 和 .user.ini

Posted love17

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了.htaccess 和 .user.ini相关的知识,希望对你有一定的参考价值。

.htaccess

仅能用于apache下,并且内容严格,不能有错误行,如:GIF89a

.user.ini

php 5.3.0开始引入,可设置除了:PHP_INI_SYSTEM 外的其他,包括(PHP_INI_PERDIR 和 PHP_INI_USER ,PHP_INI_ALL),不用重启服务器,默认每300秒加载一次。

可以引入错误行内容,如:GIF89a。

利用:

需要配合auto_prepend_file进行利用。(在执行一个php脚本前,会先require这个1.jpg文件)

GIF89a
auto_prepend_file=1.jpg

在执行一个脚本前,都会先包含1.jpg文件。

利用条件:

1.服务器脚本语言为PHP

2.apache,iis,nginx都可以,只要服务器使用CGI/FastCGI模式

3.上传目录下要有可执行的php文件

参考:

https://xz.aliyun.com/t/6091

https://www.php.net/manual/zh/configuration.file.per-user.php

https://www.php.net/manual/zh/ini.core.php#ini.auto-prepend-file

以上是关于.htaccess 和 .user.ini的主要内容,如果未能解决你的问题,请参考以下文章

文件上传漏洞练习 upload-labs(1~5)js过滤,MIME过滤,黑名单过滤,.htaccess文件攻击,.user,ini文件攻击

[SUCTF 2019]CheckIn

.user.ini导致文件上传绕过

有用 .htaccess 使用方法大全

apache_conf 针对.htaccess的安全调整片段。

apache_conf 强大的.htaccess片段,需要在最顶层使用RewriteEngine On