[WEB13] ctf.show_web13

[WEB13] ctf.show_web13

.user.ini绕过

文件上传的要求：

文件的大小要小于24，并且对名字的，后缀的长度都有要求，后缀和名字都不可以包含php的情况下，需要上传一句话木马，小于等于24的格式可以写:

<?php eval($_POST[a]);

但是如果写成txt的后缀，会由于后缀问题服务器无法解释该php语句

1. 一句话木马写入txt

1. 上传.user.ini文件

在php中".user.ini"有如下解释：

php会在每个目录下搜寻文件名，如果设定为空字符串则php不会搜寻，也就是在“.user.ini”中如果设置了文件名，那么任意一个页面都将该文件中的内容包含进去。

1. 上传txt文件

此处一句话木马使用了GET的方式，而GET方式可以成功连接蚁剑，但是没有权限进行操作，为什么不使用POST呢？因为使用GET方式的payload全都不可连接，并且因为好奇经过了以下的测试：

结论: 我猜测蚁剑探测上传会探测是否是POST方式，使用POST方式对cmd传入eval执行一个随机生成的POST变量名的值base64解码，并且获得了相应的响应，但是GET方式不符合这个流程。

具体推荐查看此文章：[关于一句话中使用的assert和eval - Article_kelp - 博客园 (cnblogs.com)](https://www.cnblogs.com/Article-kelp/p/14704975.html#:~:text=可以看到蚁剑使用了,POST方式 对cmd传入eval执行一个随机生成的POST变量名的值base64解码，并且获得了相应的响应，便有了蚁剑绿色框显示的连接成功。)

1. “在“.user.ini”中如果设置了文件名，那么任意一个页面都将该文件中的内容包含进去。"

所以可以使用GET方式在任何一个页面执行php代码，配合print_r(),glob()和heiglight_file()函数

• Print_r() 打印变量
• Glob() 返回一个包含匹配指定模式的文件名或目录的数组
• highlight_file() 显示文件前端

1. payload：?c=print_r(glob("*"));

1. payload: ?c=highlight_file("903c00105c0141fd37ff47697e916e53616e33a72fb3774ab213b3e2a732f56f.php");

题目结束 以上是我的个人见解

欢迎指正 互相交流