Apache HTTPD 换行解析漏洞(CVE-2017-15715)

最新推荐文章于 2024-08-06 20:47:30 发布
最新推荐文章于 2024-08-06 20:47:30 发布
阅读量2.2k 收藏
点赞数 1
分类专栏: 渗透测试 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48907714/article/details/124038042
版权

Apache HTTPD 换行解析漏洞(CVE-2017-15715)

Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

实验环境

vulhub靶场
路径:httpd/CVE-2017-15715
在这里插入图片描述

实验过程

1、我们先查看打开的的端口为8080
在这里插入图片描述
2、我们通过IP和端口进行访问
在这里插入图片描述
3、上传一个php脚本文件并且抓包
在这里插入图片描述
4、我们打开16进制,在php后面的改为0a(不能是\x0D\x0A,只能是一个\x0A),发包在这里插入图片描述
5、访问刚刚上传的文件,发现能够解析,但是不是php后缀
http://192.168.72.15:8080/1.php%0a
在这里插入图片描述

百密不疏
关注
专栏目录
CVE-2018-18778.docx
07-23
**CVE-2018-18778:mini_httpd任意文件读取漏洞详解** CVE-2018-18778 是一个针对 mini_httpd 服务器的严重安全漏洞,它允许攻击者通过精心构造的HTTP请求来读取服务器上的任意文件。这个漏洞源于 mini_httpd 对于...
apache httpd漏洞合集
weixin_46626737的博客
07-02 707
就是上传文件,在1.php文件名后面加一个0x0ahex值进行一个绕过,恰好有解析漏洞,将1.php%0a当做1.php执行。--#exec cmd="id" -->,直接访问,就会显示。3.Apache HTTP Server路径穿越漏洞(CVE-2021-41773、CVE-2021-42013)上传文件,bp抓包修改为123.php.jpg,访问其路径,会以php格式执行。漏洞版本:Apache HTTP Server 2.4.49-2.4.50。漏洞版本:通用,得看是否开启了ssi组件。
Apache Httpd 常见漏洞解析(全)
黑战士的博客
02-17 3326
Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞。在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。
ApacheCVE-2021-41773漏洞
最新发布
网安小白
08-06 224
漏洞是由于Apache HTTP Server 2.4.49版本存在⽬录穿越漏洞,在路径穿越⽬录 Require all granted允许被访问的的情况下(默认开启),攻击者可利⽤该路 径穿越漏洞读取到Web⽬录之外的其他⽂件 在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执⾏任意cgi命令(RCE)
Apache HTTPD 换行解析漏洞CVE-2017-15715)的分析与复现
dgjkkhcf的博客
07-27 2800
ApacheHTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。
apache-httpd-2.4.58-win64-VS17.zip
12-15
标题 "apache-httpd-2.4.58-win64-VS17.zip" 指的是 Apache HTTP 服务器的2.4.58版本,适用于64位Windows操作系统,并且是使用Visual Studio 2017编译的。这个压缩包包含了一系列用于在Windows平台上搭建和运行...
Apache httpd-2.4.54-o305-x64-vs17
08-24
apache httpd-2.4.54-o305-x64-vs17.zip, 最新版, 修改了之前部分bug Use the links below to download the Apache Portable Runtime from one of our mirrors. You must verify the integrity of the downloaded ...
apachehttpd-2.4.52-o111m-x86-vc15
02-15
【描述】"apachehttpd-2.4.52-o111m-x86-vc15 32位"进一步强调了这是32位架构的软件,意味着它不能在64位操作系统上直接运行,除非在兼容模式下。32位系统通常可以支持的最大内存为4GB,对于大多数小型到中型的Web...
CVE-2018-11759:显示如何利用CVE-2018-11759的概念证明
03-19
概念验证描述特定于Apache Web服务器(httpd)的代码在将请求的路径与Apache Tomcat JK(mod_jk)连接器1.2.0至1.2.44中的URI-worker映射进行匹配之前对其进行了规范化,无法正确处理某些边缘情况。如果仅通过httpd...
httpd-2.4.29-x86-r2.zip
04-05
Apache HTTP Server,简称Apache,是世界上最流行的开源Web服务器软件,其最新版本为httpd-2.4.29。这个32位版本适用于运行在Windows操作系统上的系统环境,为用户提供了一个强大、稳定且灵活的平台来托管静态网页、...
Apache httpd-2.4.54-o111p-x86-vs17.zip 32位
08-24
Apache httpd-2.4.54-o111p-x86-vs17.zip 32位的 Use the links below to download the Apache Portable Runtime from one of our mirrors. You must verify the integrity of the downloaded files using ...
apache httpd 2.4.26 配套用 apr-1.5.2
08-18
APR-1.5.2是与Apache HTTPD 2.4.26相配套的版本,它负责处理诸如文件I/O、网络通信、线程管理、内存分配等低级操作。APR的设计目标是提供跨平台的兼容性,确保在不同操作系统环境下,Apache HTTPD的功能和性能保持...
apache-httpd-2.4的win64编译后版本
04-02
"Apache-httpd-2.4的win64编译后版本"意味着这个压缩包包含了专门为64位Windows系统编译的Apache HTTPD二进制文件。使用Visual Studio 2017(即VC15)进行编译,确保了软件与最新的Windows API和库兼容,同时也提高...
Apache HTTPD 换行解析漏洞(CVE-2017-15715)
weixin_44047654的博客
12-11 242
Apache HTTPD 换行解析漏洞(CVE-2017-15715)
Apache httpd 换行解析漏洞(CVE-2017-15715)
qq_44887839的博客
07-14 593
文章目录Apache httpd 换行解析漏洞(CVE-2017-15715)漏洞复现漏洞原理漏洞分析Apache配置FilesMatch访问控制 Apache httpd 换行解析漏洞(CVE-2017-15715) 影响版本: 2.4.0~2.4.29 漏洞复现 进入docker容器/vulhub-master/httpd/CVE-2017-15715的目录下 cd进入漏洞目录,自动化编译环境 docker-compose build 启动整个环境 sudo docker-compose up -
中间件安全Apache常见漏洞
剁椒鱼头没剁椒的博客
02-20 7802
Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。apache httpd支持一个文件多个后缀,windows对于多后缀的识别是看最后一个“.”之后的后缀名。apache对于多后缀文件的识别是从后往前识别,最后一个后缀不能被识别时,会往前识别。
中间件漏洞合集:Apache HTTPD换行解析漏洞分析
"这篇文档是关于中间件漏洞的合集,涵盖了常见的Web中间件如IIS、Nginx和Apache,特别是重点讨论了Apache HTTPD的换行解析漏洞CVE-2017-15715)。文档中提到了这个漏洞允许攻击者通过特殊构造的文件名绕过服务器的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值