Apache默认解析后缀

最新推荐文章于 2024-04-12 01:35:10 发布
最新推荐文章于 2024-04-12 01:35:10 发布
阅读量1.2k 收藏 3
点赞数 1
分类专栏: 应急响应 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49025459/article/details/130365457
版权

Apache HTTP服务器默认情况下支持解析以下常见的文件扩展名:

HTML文件.html
HTML文件.htm
Server Side Includes (SSI) HTML文件.shtml 
PHP脚本文件.php
PHP脚本文件.php3
PHP脚本文件.php4
PHP脚本文件.php5
 Python脚本文件.py
Common Gateway Interface (CGI) 脚本文件.cg

Apache 后缀解析漏洞

漏洞描述

Apache Httpd支持一个文件拥有多个后缀,不同的后缀执行不同的命令,也就是说当我们上传的文件中只要后缀名含有php,该文件就可以被解析成php文件,利用Apache httpd这个特性,就可以绕过上传文件的白名单。该漏洞和apache版本和php版本无关,属于用户配置不当造成的解析漏洞

原理

Apache对文件后缀名的识别是从后向前进行匹配的,以单个.作为分隔符。当遇到未知的文件后缀名时,会继续向前匹配,直到遇到可以识别的后缀名为止。

防御方法 

apache配置文件,禁止.php.这样的文件执行,配置文件里面加入
<Files ~ "\.(php.|php3.)">
Order Allow,Deny
Deny from all
</Files>

仲瑿
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
apache服务器解析不同的缀如.phtml、.php3、.txt等
qq_39993791的博客
12-09 1422
完成apache服务器能够使用php解析.phtml .php3 步骤:首先创建一个后缀为.phtml .php3的文件里面内容可以输出显示,列如: 修改apache的配置文件httpd.conf 在httpd.conf设置配置文件,添加一个解析相当于可以运行后缀为.phtml与 .php3的功能,也可以说是修改环境变量,如上图, 如果由phpStu...
apache服务器目录结构
06-16
1. ****:这是Apache服务器的根目录,通常在安装时会以“Apache Group\Apache”为后缀。在这个目录下,你可以找到Apache服务器的可执行文件、核心模块动态链接库以及readme文件等。这些文件包含了服务器运行所需的...
apache文件后缀解析
mgxcool的专栏
06-11 8385
apache对文件后缀名的识别是从后向前进行匹配的,以单个.作为分隔符。当遇到未知的文件后缀名时,会继续向前匹配,直到遇到可以识别的后缀名为止。 如: 根目录下有一个abc.php.xa.cd.gf文件,当通过浏览器请求这个文件时,因为第一个后缀名.gf是无法识别的,apache会继续处理.cd,同样无法识别,直到最后识别出.php,那么最后这个文件将被作为php文件解析并执行。
06 - vulhub - Apache HTTPD 多后缀解析漏洞
最新发布
2301_82241859的博客
04-12 752
漏洞原理漏洞复现漏洞利用验证漏洞利用是否成功修复建议漏洞名称:Apache HTTPD 多后缀解析漏洞简介:httpd是Apache超文本传输协议(HTTP)服务器的主程序。被设计为一个独立运行的后台进程,它会建立一个处理请求的子进程或线程的池。Apache Httpd支持一个文件拥有多个后缀,不同的后缀执行不同的命令,也就是说当我们上传的文件中只要后缀名含有php,该文件就可以被解析成php文件。比如,如下配置文件:AddType text/html .htmlAddLanguage zh-CN .cn其
Apache httpd 后缀解析
YouthBelief的博客
11-05 716
Apache httpd 后缀解析Apache httpd 后缀解析0x01 漏洞描述0x02 影响范围0x03 漏洞复现0x04 漏洞修复 Apache httpd 后缀解析 0x01 漏洞描述 Apache HTTPD 支持一个文件拥有多个后缀,并为不同后缀执行不同的指令。 那么,在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白名单的解析漏洞。 0x02 影响范围 该漏洞和apache版本和php版本无关,属于
apache能够解析后缀php5,Apache后缀解析漏洞
weixin_33561009的博客
03-10 1075
造成原因Apache HTTPD 支持一个文件拥有多个后缀,并为不同后缀执行不同的指令。如果Apache配置文件(Apache\conf\httpd.conf)中存在以下代码:AddHandler application/x-httpd-php .php那么,当文件的后缀中存在 .php时该文件就会被解析为php文件。例如,photo.php.jpg就会被解析为php文件。从而,我们可以利用apa...
apache能够解析后缀php5,Apache后缀解析漏洞分析和防御方法
weixin_36090805的博客
03-10 747
我们都知道windows2003 + IIS6.0下,如果目录结构中有xxx.asp这样的目录,那么所有这个目录下的文件不管扩展名为什么,都会当作asp来解析。我们一般称这个漏洞为windows2003+iis6.0目录解析漏洞。但是大家可能不知道的是,apache服务器也存在类似的解析漏洞。我们来做下实验,我在本地搭建好了一个apache+php的测试平台:两个文件phpinfo.php php...
(转)Apache对文件后缀解析的分析利用
weixin_30747253的博客
05-22 364
现在的网站越来越多的采用了PHP作为其主要的脚本来构造网页,一来因为PHP功能强大且容易使用;再者则为其后台支持用到的是Apache作为服务器,而Apache是免费的,也许正是因为这样那样的原因,现在的PHP也越来越流行。另外一个方面是大家普遍认为PHP比起ASP要安全的多,很多人提到IIS就摇头,甚至有人毫不夸张的说一台没有人工配置的IIS服务器可以不花10分钟就能进入,这个方面比起Apache...
spring-multiple-viewresolver:Thymeleaf + Apache Tiles +内部Viewresolver组合配置
04-28
内部视图解析器通常指的是Spring MVC提供的默认视图解析器,如InternalResourceViewResolver。它能处理JSP、FreeMarker、Velocity等视图技术,通过指定前缀和后缀来确定实际的视图路径。例如,如果逻辑视图名为...
wallpaper,附带条件.zip
09-25
【开源壁纸项目“wallpaper,附带条件.zip”解析】 开源项目“wallpaper,附带条件.zip”似乎是一个专门提供壁纸资源的项目,其名称暗示可能包含一系列与壁纸相关的条件或特性。通过解压文件“wallpaper-master”,...
微链影院V5.2 内置4套模板_免采集+后台管理+会员系统.zip
06-20
###后台资源采集片源请选用m3u8或mp4后缀音频,可增加片源,但不支持直链片源,因增加了m3u8解析,加速播放!具体查看后台样式设置! ###二维码图片替换(images/ew.png 、images/ewm.png) ###MKCMS模板默认背景图片...
Apache后缀解析漏洞分析和防御方法
09-15
主要介绍了Apache后缀解析漏洞分析和防御方法,后缀解析漏洞通常通过伪造PHP后辍,来上传文件到服务器中,很致命的一漏洞,需要的朋友可以参考下
struts2属性文件中的有效的struts2属性KEY和带占位符的资源文件[参考].pdf
10-12
8. `struts.multipart.parser`: 设定处理文件上传请求的解析器,如`cos`、`pell`或`jakarta`,默认是`jakarta`,使用Apache Commons FileUpload。 9. `struts.multipart.saveDir`: 上传文件的临时保存目录,默认是`...
Apache 后缀解析漏洞
guishengyx的博客
10-19 373
vulfocus靶场
apache能够解析后缀php5,apache httpd解析漏洞复现
weixin_34237941的博客
03-10 553
实验环境:win10下运行phpstudy漏洞描述:(1)apache解析文件时有一个原则:当碰到不认识的扩展名时,将会从后往前解析,直到遇到认识的扩展名为止(2)如果都不认识将会暴露源码。在apache配置不当的时候就会造成apache解析漏洞。复现过程:1、在httpd.conf里加入一句AddHandler application/x-httpd-php .php2、在WWW目录下创建一个...
Apache httpd 后缀解析漏洞[VULFOCUS]
m0_37638874的博客
09-06 878
当遇到未知的文件后缀名时,会继续向前匹配,网站有白名单过滤,不给上传。对文件后缀名的识别是。
Apache 漏洞之后缀解析漏洞
热门推荐
04-28 1万+
我们都知道windows2003 + IIS6.0下,如果目录结构中有xxx.asp这样的目录,那么所有这个目录下的文件不管扩展名为什么,都会当作asp来解析。我们一般称这个漏洞为windows2003+iis6.0目录解析漏洞。但是大家可能不知道的是,apache服务器也存在类似的解析漏洞我们来做下实验,我在本地搭建好了一个apache+php的测试平台两个文件phpinfo.php  ph
apache cgi-bin 脚本映射
weixin_41606022的博客
10-20 945
<Directory "C:/xampp/cgi-bin"> AllowOverride None Options +ExecCGI Order allow,deny Allow from all Require all granted </Directory> #!C:\Users\Administrator\AppData\Local\P...
防止apache的php扩展名解析漏洞
cnbird's blog
10-05 784
vitter@sefechina.nethttp://blog.securitycn.net今天看到ecshop后台拿webshell的文章,想起来很长时间很多版本存在的apache的php扩展名解析漏洞,主要问题是:不管文件最后后缀为什么,只要是.php.*结尾,就会被Apache服务器解析成php文件,问题是apache如果在mime.types文件里面没有定义的扩展名在诸如x1.x2.x
修改apache默认网页目录
09-04
要修改Apache默认网页目录,需要进行以下步骤: 1. 打开Apache的配置文件:通常是“httpd.conf”或“apache2.conf”文件。这个文件的路径可以根据不同的服务器配置而有所不同,一般位于“/etc/apache2/”或“/etc/httpd/”目录下。 2. 在配置文件中找到“DocumentRoot”这一行。这是Apache默认网页目录的定义。该行的下方通常会有一个“<Directory>”标签,其中包括一些权限和访问控制的设置。 3. 将“DocumentRoot”后面的路径修改为你想要设置的新目录的绝对路径,例如将原来的“/var/www/html”修改为“/path/to/new/directory”。 4. 如果有需要,可以修改“<Directory>”标签中的一些权限和访问控制设置,比如修改访问权限、设置目录索引等。 5. 保存并关闭配置文件。 6. 重新启动Apache服务器,以使修改生效。可以运行一个命令来重新启动Apache,例如在Ubuntu服务器上可以使用命令“sudo service apache2 restart”。 7. 确认修改的生效。可以在浏览器中输入服务器的IP地址或域名进行访问,确认是否能够看到新设置的默认网页目录下的内容。 通过以上步骤,你就可以成功地修改Apache默认网页目录了。这样,当访问服务器时,默认将会加载你所指定的新目录中的网页。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

仲瑿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值