apache解析漏洞

最新推荐文章于 2023-09-12 19:30:17 发布
最新推荐文章于 2023-09-12 19:30:17 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: 中间件漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nzjdsds/article/details/97247893
版权

复现环境

win2003(x64)

phpstudy2016

Apache/2.4.23

PHP/5.4.45

复现过程

①.先在文件根目录,建立123.php内容为123

 

PHP解析正常

②.再创建一个456无后缀的文件,内容为456

无后缀,但是apache还是解析为PHP

 

 

③.创建一个789.php.360文件 内容为789

APACHE无法识别360,往左继续识别。能识别出PHP就解析为PHP

防御方法

在配置文件httpd.conf或httpd-vhosts.conf中加入

<FileMatch ".+\.ph(p[3457]?|t|tml)\."> Require all denied </FileMatch>

大方子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
中职网络安全-中间件渗透测试
路漫漫其修远兮
08-12 1255
在比赛时的环境是开启了3389端口,这里我没有打开3389端口,我们可以使用漏洞打开端口,然后使用命令更改账户密码。然后我们远程登录,上面更改密码如果没有登陆成功,可能是由密码策略所以我们需要把密码设置复杂些。我们可以利用phpstudy后门漏洞进行代码命令执行查看用户。使用nmap扫描就可以了。......
中间件安全—Apache常见漏洞
最新发布
Innocence_0的博客
07-08 838
简单介绍一下apache是什么,Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将python等解释器编译到服务器中。ApacheHTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。apache
Apache解析漏洞详解
weixin_34128534的博客
01-09 635
很多次听到人说apache的“解析漏洞”了,正好今天又有人问,那就简单科普一下这个“解析漏洞”是何物。 先来看测试过程和结果的对比吧。 结果一 首先,我安装了apache 2.x版本,同时以module方式使apache与php结合,测试发现确实存在这样的解析漏洞。 结果二 然后,我将apache与php的结合方式修改为fastcgi方式,测试发现爆500错误,不存在这样的解析漏洞。...
apache不能解析php文件_Apache-解析漏洞
weixin_39960793的博客
11-12 281
大家好,我是阿远,今天给大家分享一下Apache解析漏洞的原理Apache解析漏洞Apache中,访问:liuwx.php.360会从右往左识别后缀,存在解析漏洞的时候,会从右往左识别哪个能解析,360是不能被解析,然后往左识别到php就识别能解析,这就是Apache解析漏洞漏洞复现环境Windows Server 2003_x64ApachePhpStudy提示:如果物理主机Ping不通20...
Apache文件解析漏洞
weixin_53696027的博客
02-27 1253
通过Ubuntu对Apache文件解析漏洞进行复现
Apache解析漏洞实验
m0_63645854的博客
09-12 639
本文主要介绍了如何利用Apache解析漏洞拿到网站的shell
Apache 解析漏洞
小白渣的博客
02-26 2479
呜啦 ~~ 又太久没写博客啦 偶然间看到了这一篇文章,觉得写得还挺好的。下面是文章内容!!! Apache文件如何解析漏洞实例分析 我最为熟悉的便是Apache了,先来研究它的文件解析漏洞。百度许久,又谷歌一番,最终发觉,Apache关于文件解析,似乎只有三种“漏洞”。之所以打引号是因为我觉得这三种“漏洞”都不是Apache漏洞,只是其特性,而很多程序员不了解这种特性,故而写出有问题的代码,这才...
7z apache解析漏洞_CTF线下赛AWD套路小结
weixin_36431035的博客
01-13 710
最近打了2场CTF线下赛,把AWD模式中的一些小套路做一些总结,本人web狗,二进制部分就不班门弄斧了。一、 AWD模式简介AWD:Attack With Defence,比赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利用漏洞攻击其他队伍可以进行得分,修复漏洞可以避免被其他队伍攻击失分。一般分配Web服务器,服务器(多数为Linux)某处存在flag(一般在根目录下);可能会提供一台流量分析...
7z apache解析漏洞_文件上传漏洞--upload-labs
weixin_39534978的博客
12-22 231
文件上传练习靶场–upload-labs通关记录以及对文件上传漏洞的总结Pass-01直接上传php文件,出现弹框提示上传失败尝试抓包,但是因为弹框未抓到上传文件的包,所以猜测是前端JS代码对文件进行了检测,直接查看网页源代码,发现检测JS代码如下:12345678910111213141516171819function checkFile(){var file = document.getEl...
文件解析漏洞——Apache文件解析漏洞
weixin_54055099的博客
09-22 931
Apache文件解析漏洞
Apache解析漏洞
forinput的博客
03-01 131
Apache解析漏洞
apache文件解析漏洞
xdjxi的博客
03-07 477
.使用Docker搭建环境 1.首先拉取一个基础镜像 docker pull ubuntu:18.04 启动一个容器 docker run --name apachejs -itd -p 80:80 ubuntu:18.04 进入容器 docker exec -it apachejs bash 更换apt源 echo "deb http://mirrors.aliyun.com/ubuntu/ bionic main restricted universe mul...
7z apache解析漏洞_Apache解析漏洞
weixin_32391045的博客
01-05 185
Apache HTTPD 换行解析漏洞(CVE-2017-15715)一、漏洞描述Apache HTTPD是一款HTTP服务器,其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。该漏洞属于用户配置不当所产生,与具体中间件版本无关。二、漏洞原理查看index.php内容,代码如下:这是一个文件上传的...
Apache文件解析漏洞利用与场景示例
Apache文件解析漏洞-01是关于Apache Web服务器中的一项安全性问题,它涉及到Apache的文件解析机制。Apache通常通过模块化的方式与PHP集成,允许处理不同类型的请求。然而,这个机制也存在一个潜在的安全漏洞漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值