.htaccess 文件攻击上传shell

最新推荐文章于 2024-04-17 08:00:00 发布
最新推荐文章于 2024-04-17 08:00:00 发布
阅读量3.6k 收藏 4
点赞数 1
分类专栏: 网络安全 文章标签: htaccess漏洞 webshell上传
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haqiang555/article/details/84776529
版权

.htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置.通过htaccess文件,可以实现:网页301重定向、自定义404页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。

1.创建htaccess文件,编辑内容为:

SetHandler application/x-httpd-php

他的意思是将该目录下的所有文件解析为php文件来执行

2.如果指定文件名的文件,才能被当做PHP解析,内容为

<FilesMatch "jpg">
SetHandler application/x-httpd-php
</FilesMatch>

它将该目录下匹配的jpg文件解析为php执行

一般黑名单验证的上传成功几率比较大,白名单什么的并无卵用,先上传这样一个后缀为htaccess的文件,在上传一个.jpg的一句话,这样即使上传的一句话后缀为jpg依然可以连接一句话。

lenKee
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx支持.htaccess文件实现伪静态的方法分享
01-20
在Google上搜索的资料很多人都说nginx目前不支持.htaccess文件,我按照nginx的规则试验了一下,结果发现nginx是完全支持.htaccess文件的! 方法如下: 1. 在需要使用.htaccess文件的目录下新建一个.htaccess文件, ...
21个常用的apache .htaccess文件配置技巧分享
01-10
Apache Web 服务器可以通过 .htaccess 文件来操作各种信息,这是一个目录级配置文件的默认名称,允许去中央化的 Web 服务器配置管理。可用来重写服务器的全局配置。该文件的目的就是为了允许单独目录的访问控制配置...
文件上传漏洞20关通关方法
天上掉馅饼
02-25 578
文件上传漏洞20关方法
利用.htaccess 文件攻击上传shell
→_→
08-24 1063
声明:以下内容均来自“实验吧”免费公益渗透平台,该平台至今仍旧在维护,估计~~,为此把以前保留的笔记拿来分享下。 [实验目的] 1) 理解.htaccess文件攻击上传Shell的原理 2) 学习.htaccess文件攻击上传Shell的过程 [实验原理] .htaccess文件是Apache服务器中的- -个配置文件,它负责相关目录下的网页配置。通过htaccess文件 ,可以实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止...
文件上传漏洞.htaccess文件
最新发布
weixin_65279640的博客
04-17 688
提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有。简言之,.htaccess就是Apache服务器上的一个可以实现特殊功能的配置文件。http.conf文件中设置了 AllowOverried All ,才能使用.htaccess文件。通过htaccess文件,可以帮我们实现:网页。想要利用好.htaccess文件,我们就需要先了解一下什么是htaccess。,可以把特定文件转化成php执行的特性来进行文件上传漏洞利用。
htaccess文件上传shell
椰树ii
05-24 6009
1.创建htaccess文件,编辑内容为: SetHandler application/x-httpd-php 然后再上传shell.jpg的木马, 这样shell.jpg就可解析为php文件。 2.编辑内容为:  demo.jpg> ForceType application/x-httpd-php SetHandler application/x-httpd-php 指定文件名的
利用.htaccess文件攻击上传Shell
weixin_30480651的博客
08-18 797
  【原理】      .htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。      本次需要用到的代码如下:       <FilesMatch "cimer"...
htaccess文件解析漏洞和利用Tamper绕过防注入代码
maskgrinning的专栏
05-19 3752
(一)htaccess文件解析漏洞   Apache中当上传文件全部被解析为,jpg的后缀时。可以尝试一下后缀为htaccess文件,代码如下   AppType    application/x-httpd-php     .jpg 代码的含义 是 将上传文件后缀名为.jpg格式的文件以 php格式来解析文件 一般黑名单验证的上传成功几率比较大,白名单什么的并无卵用,先上传这样
Apache服务器中.htaccess文件的实用配置示例集锦
09-10
主要介绍了Apache服务器中.htaccess文件的实用配置示例集锦,囊括了防盗链重定向及强制浏览器下载指定的文件类型等例子,很黄很暴力,需要的朋友可以参考下
.htaccess文件在线生成器 2.0
05-01
.htaccess在线生成编辑器 是一个免费的在线生成工具,它能够为你的网站快速生成一个 .htaccess 文件。使用非常简单,在页面左侧选择类别,再按照提示在右侧输入相关信息。最后把生成的代码以“.htaccess”的文件名...
.htaccess文件保护实例讲解
12-18
比如说,想要保护admin文件夹,经过以下两个步骤: 步骤一、可以用记事本新建文件.htaccess,输入以下内容: AuthType BasicAuth UserFile D:/AppServ/www/Hill/admin/.htpasswd AuthName “hill” require valid-...
i春秋:警惕您站上的htaccess文件上传解析漏洞
MyBack
06-01 8322
实验环境 实验环境 操作机:Windows XP 目标机:Windows 2003 目标网址:www.test.com实验工具:中国菜刀 实验目的 本课程带领大家通过利用上传htaccess文件解析漏洞绕过验证进行上传WebShell,从而使了解到上传WebShell并非难事,需要提高自身漏洞防御能力。 实验思路 上传正常图片和WEBS
webshell上传技术
热门推荐
Jim的博客
08-16 1万+
中国菜刀连接一句话木马 1.上传一句话木马,记录木马地址:http://192.168.1.3:8080/up/images/lubr.php  一句话木马:asp的一句话是:    php的一句话是: 2.菜刀连接 进入中国菜刀目录,点击chopper.exe 右键点击添加,在地址栏中添加上传文件路径,右侧添加密码lubr, 脚本类型为PHP 右键点击文件管理,查看目标服务器的完整目
警惕htaccess文件上传解析漏洞
whatiwhere的博客
11-24 9406
实验环境 操作机: Windows XP 目标机:Windows 2003 目标网址:www.test.com 实验目的 了解htaccess文件解析的利用方法 掌握如何去修复此漏洞 实验工具 中国菜刀:是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都可以用中国菜刀来进行管理,本次试验主要用到其动态脚本管理功能 实验内容 实验步骤 步骤1:...
某些环境下绕过php后缀黑名单上传webshell
大方子
08-04 6275
某期三个白帽,某牛的出的题被秒,他利用过滤黑名单的方式防止上传。做题的人就是直接上传phtml绕过黑名单的,但是我之前还不知道phtml还被能解析成php。 于是我本地测试,却发现我本地的phtml后缀解析不了。我本地的环境phpstudy集成环境。 我然后又在我的kali虚拟机里面测试,发现可以解析phtml。当时感觉好奇怪于是我就翻了翻了我kali里面的apache配置文件 kali是d...
.htaccess文件攻击
weixin_47306547的博客
09-08 825
.htaccess文件攻击即结合黑名单攻击服务器的 .hatccess文件。 通过move_uploaded_file函数把自己写的 .htaccess文件覆盖掉服务器上的这样就可以解析定义名单了。 .htaccess文件用处:通过 .htaccess文件调用php解析器取解析一个文件名中包含 “XXX” 字符串(自定义字符串)的任意文件,无论你的文件名是什么样子,只要包含定义的字符串(“XXX”),的都可以被以php的方式解析。 .htaccess文件内容: <FilesMatch .
.htaccess文件解析漏洞
cxrpty的博客
02-17 4053
一、.htaccess文件文件提供了针对目录改便配置的方法。即在一个特定的文档目录中放置一个包含一个或者多个指令的文件,以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。 二、apache的解析漏洞 ...
文件上传.htaccess文件getshell
buffedon的博客
07-27 9636
文件上传.htaccess文件getshell文件上传.htaccess文件getshell.htaccess文件http.conf文件(前提条件)利用htaccess文件getshell源码分析创建.htaccess文件上传.htaccess文件上传一句话木马获取绝对路径蚁剑getshell 文件上传.htaccess文件getshell .htaccess文件 在站点的根目录下面,不是在apache目录下 htaccess文件时Apache服务中的一个配置文件,它负责相关目录下的网页配置
记Fck编辑器拿shell
椰树ii
04-29 3802
那天同学的QQ被黑发来的挂马网站手贱看了下。 用御剑扫描了一下。 有FCK编辑器。 但御剑扫出的url访问的页面不正常。 于是在网上查了查关于FCK编辑器的路径。 fckeditor/editor/filemanager/browser/default/browser.html?typeall&connector=connectors/aspx/connector.a
.htaccess文件上传漏洞复现
06-03
如果一个服务器上的网站没有正确限制文件上传的目录,攻击者可以上传包含攻击代码的.htaccess文件到网站的某个目录,然后通过访问该目录下的文件来执行攻击代码。 2. 文件名绕过漏洞: 有些服务器在处理上传的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值