Apache中的.htaccess文件是Apache的一个配置文件,其格式为纯文本。通过.htaccess文件可以实现:URL重写,自定义错误页面,MIME类型配置以及访问权限控制等。主要体现在伪静态的的应用,图片防盗链,自定义404错误页面,禁止访问指定文件类型,文件密码保护等
通过.htaccess防盗链
RewriteEngine on
RewriteCond%{HTTP_REFERER} !^$ [NC] //NC指不区分大小写
RewriteCond %{HTTP_REFERER}!libiege.info [NC] //设置允许访问的HTTP来源
RewriteCond%{HTTP_REFERER} !leavesongs.com [NC]
RewriteCond%{HTTP_REFERER} !leavesongs.info [NC]
RewriteCond%{HTTP_REFERER} !baidu.com [NC]
RewriteCond%{HTTP_REFERER} !google.com [NC]
RewriteRule.*.(gif|jpg|png|bmp)$ http://leavesongs.com/other/no.jpg [R,NC,L] //防止盗链的文件类型
通过.htaccess上传webshell
1.建立.htaccess文件,输入<FilesMatch "cimer">SetHandlerapplication/x-httpd-php</FilesMatch>, 文件名为.htaccess,文件保存类型为eXtenbsible Markup Language file.
2.打开文件上传路径,上传.htaccess文件,文件上传成功,保存为images/.htaccess
3.打开文件上次路径,将木马文件1.php后缀名.php改为.cimer,点击上传,并记录木马文件的保存路径
4.打开中国菜刀,添加木马文件链接,密码和脚本类型
实验原理:通过.htaccess文件,调用php的解析器解析文件名包含cimer的任意文件
通过.htaccess禁止webshell执行
在需要保护的文件夹下上传如下.htaccess:
<Files ~ “.php”>
Order allow,deny
Deny from all
</Files>
实验原理:通过.htaccess文件保护关键目录,禁止目录运行php木马文件