apache文件后缀名解析

最新推荐文章于 2023-11-24 01:21:43 发布
最新推荐文章于 2023-11-24 01:21:43 发布
阅读量8.2k 收藏
点赞数 1
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mgxcool/article/details/73028488
版权

apache对文件后缀名的识别是从后向前进行匹配的,以单个.作为分隔符。当遇到未知的文件后缀名时,会继续向前匹配,直到遇到可以识别的后缀名为止。

如:

根目录下有一个abc.php.xa.cd.gf文件,当通过浏览器请求这个文件时,因为第一个后缀名.gf是无法识别的,apache会继续处理.cd,同样无法识别,直到最后识别出.php,那么最后这个文件将被作为php文件解析并执行。


apache的这个特性,可以被用来绕过一些上传文件的检测。如果一个文件上传的页面,通过黑名单的方式禁止上传php文件,那么我们就可以将文件名修改为test.php.abcd的方式进行上传。最后请求test.php.abcd时,和请求test.php的效果是一样的,这样就成功绕过了文件后缀名的检测上传了一个php文件。


apache的这个属性,定义可以识别的后缀名,可以通过修改conf/mime.types文件来实现。

mgxcool
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache后缀名解析漏洞分析和防御方法
09-15
主要介绍了Apache后缀名解析漏洞分析和防御方法,后缀解析漏洞通常通过伪造PHP后辍,来上传文件到服务器中,很致命的一漏洞,需要的朋友可以参考下
IIS SHTML支持设置方法(SSI)
01-20
可执行文件在: C:\WINDOWS\system32\inetsrv\ssinc.dll 。扩展名为:shtml/shtm打开IIS管理器,打开“本地计算机”的属性——》MIME类型——》新建后缀名:.shtmlMIME类型:text/html后缀名:.shtmMime类型:text/html然后点击确定。找到Web服务扩展(在IIS下面,与网站平行),把“在服务端的包含文件”扩展启用,就可以了。(必须重新启动IIS,否则还是无法访问!)在IIS的定义中,.shtml是SSI组件的一种,必须要把这个启用了。然后你把解析.shtml的程序正确安装,就OK了。(2)Internet信息服务管理器
Struts课堂笔记.rar--struts2的struts.properties配置文件详解
09-15
struts.action.extension The URL extension to use to determine if the request is meant for a Struts action 用URL扩展名来确定是否这个请求是被用作Struts action,其实也就是设置 action的后缀,例如login.do的'do'字。 struts.configuration The org.apache.struts2.config.Configuration implementation class org.apache.struts2.config.Configuration接口名 struts.configuration.files A list of configuration files automatically loaded by Struts struts自动加载的一个配置文件列表 struts.configuration.xml.reload Whether to reload the XML configuration or not 是否加载xml配置(true,false) struts.continuations.package The package containing actions that use Rife continuations 含有actions的完整连续的package名称 struts.custom.i18n.resources Location of additional localization properties files to load 加载附加的国际化属性文件(不包含.properties后缀) struts.custom.properties Location of additional configuration properties files to load 加载附加的配置文件的位置 struts.devMode Whether Struts is in development mode or not 是否为struts开发模式 struts.dispatcher.parametersWorkaround Whether to use a Servlet request parameter workaround necessary for some versions of WebLogic (某些版本的weblogic专用)是否使用一个servlet请求参数工作区(PARAMETERSWORKAROUND) struts.enable.DynamicMethodInvocation Allows one to disable dynamic method invocation from the URL 允许动态方法调用 struts.freemarker.manager.classname The org.apache.struts2.views.freemarker.FreemarkerManager implementation class org.apache.struts2.views.freemarker.FreemarkerManager接口名 struts.i18n.encoding The encoding to use for localization messages 国际化信息内码 struts.i18n.reload Whether the localization messages should automatically be reloaded 是否国际化信息自动加载 struts.locale The default locale for the Struts application 默认的国际化地区信息 struts.mapper.class The org.apache.struts2.dispatcher.mapper.ActionMapper implementation class org.apache.struts2.dispatcher.mapper.ActionMapper接口 struts.multipart.maxSize The maximize size of a multipart request (file upload) multipart请求信息的最大尺寸(文件上传用) struts.multipart.parser The org.apache.struts2.dispatcher.multipart.MultiPartRequest parser implementation for a multipart request (file upload) 专为multipart请求信息使用的org.apache.struts2.dispatcher.multipart.MultiPartRequest解析器接口(文件上传用) struts.multipart.saveDir The directory to use for storing uploaded files 设置存储上传文件的目录夹 struts.objectFactory The com.opensymphony.xwork2.ObjectFactory implementation class com.opensymphony.xwork2.ObjectFactory接口(spring) struts.objectFactory.spring.autoWire Whether Spring should autoWire or not 是否自动绑定Spring struts.objectFactory.spring.useClassCache Whether Spring should use its class cache or not 是否spring应该使用自身的cache struts.objectTypeDeterminer The com.opensymphony.xwork2.util.ObjectTypeDeterminer implementation class com.opensymphony.xwork2.util.ObjectTypeDeterminer接口 struts.serve.static.browserCache If static content served by the Struts filter should set browser caching header properties or not 是否struts过滤器中提供的静态内容应该被浏览器缓存在头部属性中 struts.serve.static Whether the Struts filter should serve static content or not 是否struts过滤器应该提供静态内容 struts.tag.altSyntax Whether to use the alterative syntax for the tags or not 是否可以用替代的语法替代tags struts.ui.templateDir The directory containing UI templates UI templates的目录夹 struts.ui.theme The default UI template theme 默认的UI template主题 struts.url.http.port The HTTP port used by Struts URLs 设置http端口 struts.url.https.port The HTTPS port used by Struts URLs 设置https端口 struts.url.includeParams The default includeParams method to generate Struts URLs 在url中产生 默认的includeParams struts.velocity.configfile The Velocity configuration file path velocity配置文件路径 struts.velocity.contexts List of Velocity context names velocity的context列表 struts.velocity.manager.classname org.apache.struts2.views.velocity.VelocityManager implementation class org.apache.struts2.views.velocity.VelocityManager接口名 struts.velocity.toolboxlocation The location of the Velocity toolbox velocity工具盒的位置 struts.xslt.nocache Whether or not XSLT templates should not be cached 是否XSLT模版应该被缓存
Apache2.4 Win64位
03-09
Apache2.4 Win64位 配置PHP: #----------------Fastcgi-------------------------------- LoadModule fcgid_module modules/mod_fcgid.so <IfModule mod_fcgid.c> FcgidMaxRequestsPerProcess 1000 FcgidMaxProcesses 15 FcgidIOTimeout 600 FcgidIdleTimeout 600 MaxRequestLen 104857600 </IfModule> #------------------------------------------------------- AddType text/html .php #fastcgi环境配置 <IfModule mod_fcgid.c> AddHandler fcgid-script .php FcgidInitialEnv PHP_FCGI_MAX_REQUESTS 1000 FcgidInitialEnv PHPRC "F:/web/server/PHP" FcgidInitialEnv OPENSSL_CONF "F:/web/server/PHP/extras/openssl.cnf" FcgidWrapper "F:/web/server/PHP/php-cgi.exe" .php </IfModule> 备注: apache No input filespecified,今天是我们配置apache RewriteRule时出现这种问题,解决办法很简单如下 打开.htaccess 在RewriteRule 后面的index.php教程后面添加一个“?” 完整代码如下 .htaccess RewriteEngine on RewriteCond $1 !^(index.php|images|robots.txt) RewriteRule ^(.*)$ /index.php?/$1 [L] 如果是apache服务器出问题,看看是不是的Apache 把 .php 后缀文件解析哪里有问题了。 Apache 将哪些后缀作为 PHP 解析。例如,让 Apache 把 .php 后缀文件解析为PHP。可以将任何后缀文件解析为 PHP,只要在以下语句中加入并用空格分开。这里以添加一个 .phtml 来示例。 AddType application/x-httpd-php .php .phtml 为了将 .phps教程作为 PHP 的源文件进行语法高亮显示,还可以加上: AddType application/x-httpd-php-source .phps 用通常的过程启动 Apache(必须完全停止 Apache 再重新启动,而不是用 HUP 或者USR1 信号使 Apache 重新加载)。 调试: httpd.exe -w -n "Apache2.4" -k start (引号中为你的apache服务名) module: http://www.apachelounge.com/download/
apache后缀文件解析漏洞复现
qq_42499737的博客
07-10 359
文章目录 一. 漏洞描述 二. 漏洞原理 三. 实验环境 apache版本 在网站根目录我们建一个index.php,测试是否解析 修改文件名测试 用文件名不包含php的文件测试 漏洞怎么使用? 四. 如何解决 一. 漏洞描述 Apache Httpd支持一个文件拥有多个后缀,不同的后缀执行不同的命令,也就是说当我们上传的文件中只要后缀名含有php,该文件就可以被解析成php文件,利用Apache httpd这个特性,就可以绕过上传文件的白名单。 该漏洞和apache版本和php版本无关,属于用户配置不
Apache默认解析后缀
m0_49025459的博客
04-25 1154
Apache Httpd支持一个文件拥有多个后缀,不同的后缀执行不同的命令,也就是说当我们上传的文件中只要后缀名含有php,该文件就可以被解析成php文件,利用Apache httpd这个特性,就可以绕过上传文件的白名单。该漏洞和apache版本和php版本无关,属于用户配置不当造成的解析漏洞。Apache文件后缀名的识别是从后向前进行匹配的,以单个.作为分隔符。当遇到未知的文件后缀名时,会继续向前匹配,直到遇到可以识别的后缀名为止。apache配置文件,禁止.php.这样的文件执行,配置文件里面加入。
apache服务器解析不同的缀如.phtml、.php3、.txt等
qq_39993791的博客
12-09 1348
完成apache服务器能够使用php解析.phtml .php3 步骤:首先创建一个后缀为.phtml .php3的文件里面内容可以输出显示,列如: 修改apache的配置文件httpd.conf 在httpd.conf设置配置文件,添加一个解析相当于可以运行后缀为.phtml与 .php3的功能,也可以说是修改环境变量,如上图, 如果由phpStu...
apache能够解析后缀php5,Apache后缀解析漏洞
weixin_33561009的博客
03-10 1043
造成原因Apache HTTPD 支持一个文件拥有多个后缀,并为不同后缀执行不同的指令。如果Apache配置文件(Apache\conf\httpd.conf)中存在以下代码:AddHandler application/x-httpd-php .php那么,当文件后缀中存在 .php时该文件就会被解析为php文件。例如,photo.php.jpg就会被解析为php文件。从而,我们可以利用apa...
11-3 Apache后缀解析漏洞分析
最新发布
weixin_43263566的博客
11-24 1414
该漏洞与用户的配置有密切的关系,严格来说属于用户配置问题。Apache文件解析漏洞涉及到 Apache 解析文件的特性。在默认情况下,Apache 允许一个文件具有多个以点分割的后缀,在处理文件时会从右向左识别后缀名。(就是右边的后缀名无法识别,则继续识别左边的)如果运维人员给具有 .php 后缀文件添加了处理程序 AddHandler application/x-httpd-php .php,那么在文件具有多个后缀的情况下,只要文件含有 .php 后缀,该文件就会被识别为 PHP 文件并进行解析
Apache后缀名解析漏洞复现(vulhub)
qq_51398553的博客
06-15 384
例如一个文件名为test.jpg.abc,Apache会先从最右边开始识别,也就是会先识别.abc,apache无法识别.abc,继而往左继续识别,发现是.jpg,Apache可以识别,因此会将其识别为图片文件。从源代码中可以看出,该网站只允许上传以gif,png,jpg和jpeg为后缀文件。配置Apache时,对于Apache配置不熟练,配置命令不清楚,在配置PHP文件处理程序时,配置命令存在问题:位于漏洞环境目录的 conf/docker-php.conf里的配置命令。,而不是从/var开始)。
Apache后缀解析漏洞
m0_65150886的博客
10-19 145
apache支持php有多种模式,常见的有module、cgi、fastcgi等,此漏洞存在于module模式(关于CGI、FastCGI、PHP-FPM与Module模式传送门)。Apache在遇到多个后缀文件时,尝试从后往前解析,直到解析到可解析的为止。例如test.php.xxx就按照php去解析,test.php.aaa.jpg就按照php去解析。根据这个原理,我们可以上传文件名如shell.php.xxx的文件,以此来绕过后端黑名单的检测,从而上传成功而且又能被Apache按照php去解析
文件上传.htaccess重定解析规则】phpstudy apache本地配置.htaccess进行url重写
03-11 1830
.htaccess重新定义解析规则,执行文件修改执行
apache-httpd_未知后缀名解析漏洞
acdcccc的博客
09-07 98
Apache Httpd 多后缀名解析漏洞复现
apache能够解析后缀php5,解决php没有被apache解析的方法
weixin_39844590的博客
03-10 1501
解决php没有被apache解析的方法发布时间:2020-08-11 10:32:59来源:亿速云阅读:82作者:小新小编给大家分享一下解决php没有被apache解析的方法,希望大家阅读完这篇文章后大所收获,下面让我们一起去探讨吧!php没有被apache解析的解决办法:首先在htdocs目录下新建php网页文件;然后设置apache的主配置文件【httpd.conf】,并在装载模块添加相关代码...
apache目录遍历漏洞利用_Apache漏洞—多后缀名解析、目录遍历和(CVE-2017-15715)
weixin_35626308的博客
01-14 1719
文章目录一、Apache httpd 多后缀解析漏洞漏洞原理漏洞复现漏洞修复二、Apache httpd 换行解析漏洞(CVE-2017-15715)漏洞原理漏洞复现漏洞修复三、Apache 目录遍历漏洞原理漏洞修复Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的...
Apache的主要目录和配置文件详解
u013227473的博客
05-31 6254
一、Apache 主要配置文件注释Apache的主配置文件:/etc/httpd/conf/httpd.conf默认站点主目录:/var/www/html/Apache服务器的配置信息全部存储在主配置文件/etc/httpd/conf/httpd.conf中,这个文件中的内容非常多,用wc命令统计一共有1009行,其中大部分是以#开头的注释行。ServerTokens OS在出现错误页的时候是否显...
文件解析漏洞总结-Apache
1stPeak's Blog
03-25 2176
Apache解析漏洞 多后缀名解析:xx.php.xxoo Apache认为一个文件可以有多个后缀名,例如:peak.txt.jpg.xx Apache解析规则是从后(右)往前(左)依次判断后缀名,当Apache不认这个后缀名时,就继续往前判断后缀名,如果遇到认识的后缀名,就将这整个文件当做认识的这个后缀名解析,如若,从右往左都没有认识的,apache就会把这整个文件直接交给浏览器自动处理,不...
CISP-PTE选择题整理(一)
千寻的博客
10-24 6610
LDAP认证查询语句句为:(&(USER=Uname)(PASSWORD=Pwd)) ,Uname和pwd可控,关于绕过认证下面说法正确的是。在拿到⼀个windows服务器下的webshell之后,我想看看当前在线的用户,下面这些命令可以做到的是。一个⽹站存在命令执⾏漏洞,由于服务器不能上外网,这是我们可以利用什么样的⽅式将文件上传到服务器器。拿到一个windows下的webshell,我想看一下主机的名字,如下命令做不到的是。linux 环境下,查询⽇日志⽂文件最后100⾏行行数据,正确的⽅方式是。
22. Apache默认一个文件可以有多个以点分割的后缀,其解析文件的规则是从右到左开始判断 解析,如果后缀名为不可识别文件解析,就再往左判断。( 1.5分) A.对 B.错
06-13
正确答案是 A.对。在 Apache 中,默认情况下,一个文件可以有多个以点分割的后缀,例如 index.html.en 表示英文的 HTML 文件,index.html.fr 表示法文的 HTML 文件解析文件的规则是从右到左开始判断,如果遇到可识别的后缀名,则按照该后缀名对应的 MIME 类型进行解析;如果后缀名为不可识别文件解析,就再往左判断,直到找到可识别的后缀名或者没有后缀名为止。例如,对于文件 index.html.en,Apache 会首先尝试按照 .en 后缀名对应的 MIME 类型进行解析,如果无法识别,则继续按照 .html 后缀名对应的 MIME 类型进行解析。这种方式可以方便地支持多语言网站和多种文件格式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值