.htaccess文件及web漏洞介绍

最新推荐文章于 2024-05-01 06:22:28 发布
最新推荐文章于 2024-05-01 06:22:28 发布
阅读量1.5k 收藏
点赞数
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Marsper/article/details/109457000
版权

htaccess文件

.htaccess攻击

.htaccess是Apache服务器的分布式配置文件,该配置文件会覆盖Apache服务器的全局配置,作用域是当前目录及其子目录。

如果一个web应用允许上传.htaccess 文件,那就意味着攻击者可以更改Apache 的配置,这是十分危险。.htaccess攻击想象空间非常大。
首先看Apache 的配置,允许.htaccess文件覆盖掉Apache 的配置。
在这里插入图片描述
若配置文件中有如图中一样,即表示允许被覆盖。

*将.png文件当作PHP文件解析
将以下代码写入文件,并保存成.htaccess名字,放到测试目录下
AddType application/ x-httpd-php .png
在同一目录下创建一个文件[info. png],文件内容如下

<?php
phpinfo( );
?>

当我们访问该文件时,[info.png] 内的PHP代码将会被执行。

*文件名中包含php关键字
当文件名[info.php.png]〕中包含关键字[.php],并且.htaccess文件内容如下,info.php.png中的代码会被执行。AddHandler php5-script php

*匹配文件名
以下配置是匹配文件名[ajest],找打该文件,并执行其中的PHP代码

<FilesMatch "ajest">
SetHandler application/x-httpd-php
</FilesMatch>

*upload-labs第四关
先上传[.htaccess]文件。
再上传[ajest]

web容器解析漏洞

web容器解析漏洞,就是web容器在解析脚本出现的"bug"。

  • Apache解析漏洞
  • IIS6.0解析漏洞*PHP CGI解析漏洞
  • Nginx空字节漏洞
  • Nginx文件名逻辑漏洞(CVE-2013-4745)

常见编辑器上传
编辑器就是网站后台编辑网页的在线编辑器,会自动集成文件上传功能,这些编辑器的某些版本也存在文件上传漏洞。

  • ewebeditor
  • fckeditor
曦枳icon.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
任意文件上传-(一).htaccess文件
05-10
用于利用某些Web服务器(尤其是Apache)的配置漏洞,以实现更高级的文件上传攻击或执行其他恶意操作。 文件类型解析:通过.htaccess修改服务器配置,可以让服务器将特定类型的文件当作PHP或其他可执行脚本处理。例如...
.htaccess上传漏洞(解析漏洞
m0_51607644的博客
08-17 3917
写在前边 漏洞学习三步走: 1.了解漏洞原理 2.知道漏洞形成条件,复现漏洞 3.解决如何防范 .htaccess上传漏洞 .htaccess文件作用 概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目 录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自 定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、 禁止目录列表、配置默认文档等功能。 Unix、Linux系统或者是任何版本的Apach
信息泄露-小白初识
small_whitehat的博客
02-21 1227
网站敏感信息源码泄露
2024年最全【Web安全】htaccess攻击_
最新发布
2401_84281638的博客
05-01 442
参考于[CTF].htaccess的使用技巧总结,由于是偏笔记类的博客,所以不给出太多的案例。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。 观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。 当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的
1-Web安全——文件上传漏洞
网络安全
08-20 4219
1. 上传文件漏洞原理 现在大部分web应用程序都有上传文件的功能,例如个人博客上传各种文件和图片,招聘网站上传doc文件格式的简历等等。只要web应用程序有上传文件的功能,就可能会存在上传文件漏洞。 为什么会有上传文件漏洞? 一般用户在上传文件时,如果web应用程序的代码没有对上传的文件进行严格的校验和过滤时,容易出现允许上传任意文件的情况,然后恶意攻击者利用这一点上传恶意脚本文件(aspx,php,jsp等文件)到服务器,从而获取网站的管理员权限,对服务器造成巨大威胁,这个恶意文件则被称为webs
文件上传漏洞.htaccess文件解析漏洞
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
06-01 6551
  htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
htaccess 的使用基本小节 For apache httpd
weixin_30700099的博客
04-24 116
htaccess 的使用基本小节 For apache httpd .htaccess的基本作用 .htaccess是一个纯文本文件,它里面存放着Apache服务器配置相关的指令。 .htaccess主要的作用有:URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误页面、阻止/允许特定I...
[web安全-文件上传漏洞解析,及常见绕过方式]简单易懂超友好
m0_73033023的博客
04-20 2640
有时候服务器会对上传上去的图片进行二次渲染,生成一张新的图片,从而过滤掉webshell脚本,这时只需要将渲染后的图片与渲染前的图片进行对比,查看二者相同的地方,也就是渲染未改动的地方,在此处插入webshell脚本即可,网上推荐用gif图片。如果程序里面存在这种漏洞,那么恶意攻击者可以直接向你的服务器上传一个 webshell( 又称 ASP 木马、PHP 木马、JAVA木马等即利用服务器端的文件操作语句写成的动态网页,可以用来编辑你服务器上的文件 ),从而控制你的网站。
信息安全技术基础:利用.htaccess文件上传.pptx
11-01
然而,如果服务器未正确配置或过滤,攻击者可能上传包含恶意代码的.htaccess文件,从而篡改目录的配置,造成安全漏洞。 攻击者通常会采取以下步骤来利用.htaccess文件: 1. **构造.htaccess文件**:攻击者会创建一...
htAdmin - .htaccess administration-开源
07-28
htAdmin 是一款专为 Apache Web 服务器设计的开源项目,它提供了便捷的 Web 界面,用于管理基于 .htaccess 文件的用户权限。这款工具旨在简化对网站目录访问控制的设置和维护,尤其是涉及基本身份验证的场景。 ....
借github上韩国师傅的一个源码实例再次理解.htaccess的功效1
08-03
通过上传..htaccess文件,我们可以绕过之前的WAF,成功实现恶意代码的执行。 总结来说,理解.htaccess文件的机制及其在安全防护中的作用至关重要。攻击者可能会利用其漏洞进行恶意操作,而防御者则需要通过合理的...
.htaccess文件保护实例讲解
12-18
比如说,想要保护admin文件夹,经过以下两个步骤: 步骤一、可以用记事本新建文件.htaccess,输入以下内容: AuthType BasicAuth UserFile D:/AppServ/www/Hill/admin/.htpasswd AuthName “hill” require valid-user 各行不多解释,关键是第二行,一定要是绝对路径,表示.htpasswd文件的位置。(位置任意) 然后把这个名为.htaccess文件放到admin文件夹中。 步骤二、下面就是新建一个名为.htpasswd的文件,名字应该和上面第二行一致。 简单的方法:开始-运行-cmd-apache
Apache使用.htaccess 屏蔽恶意 User Agent(防蜘蛛)
09-15
Apache服务器是世界上最流行的开源Web服务器,它允许管理员通过配置文件`.htaccess`对网站进行细粒度的控制。本文将详细介绍如何使用`.htaccess`文件来屏蔽恶意User Agent,以防止网络爬虫、垃圾留言和恶意注册等...
WEB入门——文件上传漏洞
HasntStartIsOver的博客
06-04 5205
文件上传漏洞服务端代码未对客户端上传的文件进行严格的验证,导致漏洞。如果.php后缀被限制,可以尝试:.php3、php4、.PHp(修改大小写)、.phtml、.pht等后缀,WebShell的内容一样。这两个配置的意思就是:我们指定一个文件,那么该文件就会被包含在要执行的php文件中(如index.php)。如果客户端JS脚本有加限制(例如上传图片,JS脚本显示了只能上传图片格式,不能上传.php后缀的文件)。1、上传的文件web脚本语言,服务器的web容器解释并执行了用户上传的脚本,脚本语言执行。
漏洞介绍及修复建议(漏洞汇总,建议收藏后期会不断更新)
Alone hackers的博客
03-07 7092
漏洞介绍及修复建议(漏洞汇总,建议收藏后期会不断更新)
漏洞复现篇——.htaccess文件解析漏洞
爱国小白帽
02-17 8415
实验环境: PHPstudy php5.6以下不带nts的版本 upload-labs-master上传漏洞靶场 服务器没有禁止.htaccess文件的上传,且服务商允许用户使用自定义.htaccess文件 原理:.htaccess文件(或者"分布式配置文件"),全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或...
文件上传漏洞笔记
weixin_42695055的博客
01-09 792
由于程序员在对用户文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件
1-1 【理论】01-文件上传/下载漏洞的业务场
山兔的博客
02-27 1266
今天,我们这篇文章来讲文件上传/下载漏洞的原理以及危害,这篇文章从四个方面来讲, 1 文件上传漏洞产生的原因 2 文件上传合法性的检测方法 3文件上传漏洞20种绕过姿势 4 文件下载漏洞 文件上传漏洞介绍文件上传在我们的平时生活和工作中,是很常见的,比如,我们要上传个图像,上传个资料,上传一些其它文件和内容 ​ 文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限,向服务器上上传可执行的动态脚本文件 控制不足或者处理缺陷这点跟我们
文件上传绕过】——解析漏洞_.htaccess文件解析漏洞
weixin_45588247的博客
07-28 2980
文章目录一、实验目的:二、工具:三、实验环境:四、漏洞利用前提:五、原理:六、利用方式:七、`.htaccess文件`内容:八、`.htaccess文件`制作:1. 直接创建文件:2. 通过`cmd命令行`创建:九、实验过程: 一、实验目的: 1、了解什么是.htaccess文件。 2、通过upload-labs闯关游戏(Pass-04),掌握.htaccess文件解析漏洞技术。 二、工具: cmd命令行 火狐/谷歌浏览器 三、实验环境: 靶 机: windows10虚拟机:192.168.100
htaccess 文件泄漏漏洞
07-28
.htaccess 文件是 Apache Web 服务器中用于配置目录级别设置的文件。它可以用于定义访问控制规则、重定向规则等。 当.htaccess 文件的权限配置不正确或者文件中包含敏感信息时,攻击者可以通过访问.htaccess 文件来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值