.user.ini文件构成的PHP后门-棉花糖会员站

# .user.ini文件构成的PHP后门

0x00 背景
——-

* * *

这个估计很多同学看了不屑，认为是烂大街的东西了：

[.htaccess文件构成的PHP后门](http://zone.wooyun.org/content/16114)

那么我来个新的吧：`.user.ini`。它比`.htaccess`用的更广，不管是nginx/apache/IIS，只要是以fastcgi运行的php都可以用这个方法。我的nginx服务器全部是fpm/fastcgi，我的IIS php5.3以上的全部用的fastcgi/cgi，我win下的apache上也用的fcgi，可谓很广，不像.htaccess有局限性。

0x01 .user.ini
————–

* * *

那么什么是.user.ini？

这得从php.ini说起了。php.ini是php默认的配置文件，其中包括了很多php的配置，这些配置中，又分为几种：`PHP_INI_SYSTEM`、`PHP_INI_PERDIR`、`PHP_INI_ALL`、`PHP_INI_USER`。在此可以查看：[http://php.net/manual/zh/ini.list.php](http://php.net/manual/zh/ini.list.php)这几种模式有什么区别？看看官方的解释：

![enter image description here](http://drops.javaweb.org/uploads/images/5ad87a713b6248f47c25c28c881e204bb3f92b16.jpg)

其中就提到了，模式为PHP_INI_USER的配置项，可以在ini_set()函数中设置、注册表中设置，再就是.user.ini中设置。这里就提到了.user.ini，那么这是个什么配置文件？那么官方文档在[这里](http://php.net/manual/zh/configuration.file.per-user.php)又解释了：

除了主 php.ini 之外，PHP 还会在每个目录下扫描 INI 文件，从被执行的 PHP 文件所在目录开始一直上升到 web 根目录（`$_SERVER[‘DOCUMENT_ROOT’]`所指定的）。如果被执行的 PHP 文件在 web 根目录之外，则只扫描该目录。

在`.user.ini`风格的 INI 文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 模式的 INI 设置可被识别。

这里就很清楚了，`.user.ini`实际上就是一个可以由用户“自定义”的php.ini，我们能够自定义的设置是模式为“PHP_INI_PERDIR 、 PHP_INI_USER”的设置。（上面表格中没有提到的PHP_INI_PERDIR也可以在.user.ini中设置）

实际上，除了`PHP_INI_SYSTEM`以外的模式（包括PHP_INI_ALL）都是可以通过.user.ini来设置的。

而且，和`php.ini`不同的是，`.user.ini`是一个能被动态加载的ini文件。也就是说我修改了`.user.ini`后，不需要重启服务器中间件，只需要等待`user_ini.cache_ttl`所设置的时间（默认为300秒），即可被重新加载。

然后我们看到php.ini中的配置项，可惜我沮丧地发现，只要稍微敏感的配置项，都是`PHP_INI_SYSTEM`模式的（甚至是php.ini only的），包括`disable_functions`、`extension_dir`、`enable_dl`等。不过，我们可以很容易地借助`.user.ini`文件来构造一个“后门”。

Php配置项中有两个比较有意思的项（下图第一、四个）：

![enter image description here](http://drops.javaweb.org/uploads/images/da88a3b19d2342cda25cf96e28993fd57dee4559.jpg)

`auto_append_file`、`auto_prepend_file`，点开看看什么意思：

![enter image description here](http://drops.javaweb.org/uploads/images/e9620fbd3fbc9aa5fc043cb4079b3361595cc926.jpg)

指定一个文件，自动包含在要执行的文件前，类似于在文件前调用了require()函数。而auto_append_file类似，只是在文件后面包含。使用方法很简单，直接写在.user.ini中：

“`
auto_prepend_file=01.gif

“`

01.gif是要包含的文件。

所以，我们可以借助.user.ini轻松让所有php文件都“自动”包含某个文件，而这个文件可以是一个正常php文件，也可以是一个包含一句话的webshell。

测试一下，我分别在IIS6.0+Fastcgi+PHP5.3和nginx+fpm+php5.3上测试。目录下有.user.ini，和包含webshell的01.gif，和正常php文件echo.php：

![enter image description here](http://drops.javaweb.org/uploads/images/3a69a5d69cb337bb5ee67d9cc452d239b8cec0dc.jpg)

![enter image description here](http://drops.javaweb.org/uploads/images/1c054af65f57ca9063a7446ccc7de65da38c7e8a.jpg)

访问echo.php即可看到后门：

![enter image description here](http://drops.javaweb.org/uploads/images/7df48ae02617076a3d1912def51b76d2ad374ebd.jpg)

Nginx下同样：

![enter image description here](http://drops.javaweb.org/uploads/images/097abc067a74ab351d5769a9e47e6c3c0b40e190.jpg)

![enter image description here](http://drops.javaweb.org/uploads/images/8a9fbe51fc4c149b3f15096d28e35394e4eb9ce3.jpg)

那么，我们可以猥琐地想一下，在哪些情况下可以用到这个姿势？比如，某网站限制不允许上传.php文件，你便可以上传一个.user.ini，再上传一个图片马，包含起来进行getshell。不过前提是含有.user.ini的文件夹下需要有正常的php文件，否则也不能包含了。再比如，你只是想隐藏个后门，这个方式是最方便的。

0x02 参考文献：
———-

* * *

* [http://php.net/manual/zh/ini.list.php](http://php.net/manual/zh/ini.list.php)
* [http://php.net/manual/zh/configuration.changes.modes.php](http://php.net/manual/zh/configuration.changes.modes.php)
* [http://php.net/manual/zh/configuration.file.per-user.php](http://php.net/manual/zh/configuration.file.per-user.php)
* [http://php.net/manual/zh/configuration.changes.php](http://php.net/manual/zh/configuration.changes.php)

文章版权归作者所有，未经允许请勿转载。

THE END