0x00 SUCTF 2019 复现

Check In

其实一开始拿到题有点蒙，以为是常规的文件上传题目，连图片都没试直接去上传图片马，因为想着签到题应该就是很基础的文件上传，然而事实证明，坐井观天实在是太打脸了。DVWA里的是相当基础的东西，意味着，是如今签到题都蔑视的那种程度。
这个题最好还是先上传个真正的图片去看一下，回显什么内容，比如上传到哪个文件目录下，那个目录都有什么内容等等。直接上传图片马的话发现会显示 <? in contents!说明这里过滤掉了<?，可以使用<script language='php'></scrip>绕过。修改后再次上传发现显示exif_imagetype:not image!，还用了exif_imagetype()进行检验，可以加上GIF89a进行绕过。这里发现上传文件的目录下有一个空的index.php ,那么就需要去利用这个index.php去帮助我们上传。

.hatcess与.user.ini

这道题服务端是nginx所以我们用.user.ini
若服务端是apache则我们用.hatcess
这两个功能相似，可以通过在目录下增加这两个文件修改部分配置，同时对于.user.ini而言修改配置无需重启服务器中间件，只需等待300s（即5分钟）配置就能够被重新加载。那么.user.ini可以修改什么配置呢？看图！

image
这样看来.user.ini可以设定PHP_INI_USER和PHP_INI_ALL的模式我们再来看.user.ini的官方文档

image
看起来.user.ini文件中PHP_INI_PERDIR模式的INI设置也可以被识别，我们理解为除了PHP_INI_SYSTEM模式的INI设置，.user.ini均可设定，那么哪些配置可以在 .user.ini 中设定呢？
php.ini 配置选项列表
今天我们可以用到的便是auto_prepend_file，该配置项可以指定在主文件之前自动解析的文件的名称，并包含该文件，就像使用require函数调用它一样。