文件上传之绕过黑名单验证(.htaccess)

最新推荐文章于 2024-05-13 21:19:30 发布
最新推荐文章于 2024-05-13 21:19:30 发布
阅读量1.5k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44111753/article/details/108157257
版权

htaccess文件时Apache服务器中的一个配置文件,负责相关目录下网页配置,可以帮我们实现网页301重定向,自定义404错误页面,改变文件扩展名等功能,其中.htaccess文件内容:SetHandler application/x-httpd-php设置当前目录所有文件都使用PHP解析,无论上传任何文件,只要符合php语言代码规范,就会被当做php文件执行。

一、修改配置文件http.conf以启动.htaccess(在Apache目录下的conf文件夹中)
设置AllowOverride为All
在这里插入图片描述
二、上传.htaccess文件
文件内容如下

SetHandler application/x-httpd-php

在这里插入图片描述
三、制作图片phpinfo探针并上传
新建文本文件,输入以下代码

<?php
       phpinfo();
?>

将文件名重命名为info.jpg
四、上传info.jpg伪图片文件
右键复制图片地址然后访问

行于其野
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
htaccess 防止盗链,防止目录浏览等10大技巧
weixin_33890499的博客
02-21 117
1. 反盗链 那些盗用了你的内容,还不愿意自己存储图片的网站是无耻的。你可以通过以下配置来放置别人盗用你的图片: 1 RewriteBase / 2 RewriteCond %{HTTP_REFERER} !^$ 3 RewriteCond %{HTTP_REFERER} !^http://(www.)?yoursite.com/.*$ [NC] ...
文件上传黑名单绕过
pigzlfa的博客
07-04 5826
黑名单绕过方法: 1、大小写绕过 windows对大小写不敏感,所以上传大小写混写的php进行绕过 (因为后端一般验证后缀字符串是否和‘php’相等,(前提是没有将你传入的字符串进行小写转换后再对比),大写字母和小写字母肯定不相等,所以可以利用这一点进行绕过,又因为windows对大小写不敏感,所以.PhP文件被当成php文件解析) 2、重写绕过: 服务端将黑名单的后缀名替换为空,但是仅替换一次,所以可以上传.phphp p后缀,替换后就成了.php 3、特殊可解析后缀绕过黑名单规则不严谨,在某些特定.
【网络安全之文件上传漏洞详解】(1)
2301_82242964的博客
04-28 1148
修改路径值,添加%00,然后提交。与白名单相反,通过限制某些文件格式,使其无法上传之服务端。只存在于APACHE中主要功能:URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误页面、阻止/允许特定IP/IP段、目录浏览与主页、禁止访问指定文件类型、文件密码保护等。
文件上传漏洞基础/htaccess重写解析绕过/大小写绕过上传/windows特性绕过
ChenD的学习笔记
10-22 3198
htaccess文件可以帮我们实现包括:文件夹密码保护、用户自动重定向、自定义错误页面、改变文件扩展名、封禁特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表,以及使用其他文件作为index文件等一些功能!有的黑名单没有对后缀名的大小写进行严格判断(一般不会有),导致可以更改后缀大小写绕过,如PHP、Php、pHp、PhP、pHP....Windows中后缀名.,系统会自动忽略末尾的".",所以可以通过在末尾加.来进行绕过。到这里我们能发现,前面的代码没有一行是没用的,每一行都针对一种上传方法!
文件上传--Upload-labs--Pass04--.htaccess绕过
2302_79800344的博客
02-18 714
.htaccess绕过
文件上传绕过1——前端绕过+.htacces绕过
xiaoheizi的博客
06-29 243
根据提示,可以判断是MIME验证,上传时目标服务器检测Content-Type字段,直接burpsuite抓包,更改Content-Type为支持上传的类型。这种服务器检测和前端检测没什么太大区别,只是检查一下文件的上传格式,虽然无法通过删除浏览器事件来绕过,但是依旧可以使用BURP抓包,修改绕过。将.htaccess文件上传,再将php.jpg上传,打开图片地址,图片内容成功被当作php执行。前端验证一般是在网页上写一段Js脚本,用Js去检测校验上传文件的后缀名,有白名单也有黑名单
第四节 文件上传-绕过黑名单验证.htaccess文件)-01
09-15
绕过黑名单验证是一种常见的攻击技术,攻击者可以使用各种方法来绕过黑名单验证,例如上传 .htaccess 文件、使用 phpinfo 探针、使用其他类型的文件等。因此,在 Web 应用程序安全中,需要格外小心地配置黑名单验证...
第五节 文件上传-绕过黑名单验证(大小写绕过)-01
09-15
文件上传-绕过黑名单验证(大小写绕过文件上传是一种常见的 Web 应用程序漏洞,攻击者可以通过上传恶意文件来获取服务器的控制权。绕过黑名单验证文件上传攻击的一种常见 technique,这种技术可以 bypass 黑...
Apache服务器中.htaccess文件的实用配置示例集锦
09-10
Apache服务器中的`.htaccess`文件是一个非常重要的工具,它允许网站管理员无需直接修改服务器的主配置文件即可控制和定制特定目录的行为。`.htaccess`文件主要用于实现一系列HTTP服务器的指令,如URL重写、访问控制...
nginx支持.htaccess文件实现伪静态的方法分享
01-20
在Google上搜索的资料很多人都说nginx目前不支持.htaccess文件,我按照nginx的规则试验了一下,结果发现nginx是完全支持.htaccess文件的! 方法如下: 1. 在需要使用.htaccess文件的目录下新建一个.htaccess文件, ...
21个常用的apache .htaccess文件配置技巧分享
01-10
Apache Web 服务器可以通过 .htaccess 文件来操作各种信息,这是一个目录级配置文件的默认名称,允许去中央化的 Web 服务器配置管理。可用来重写服务器的全局配置。该文件的目的就是为了允许单独目录的访问控制配置...
后缀名检测与绕过.htaccess文件攻击
m0_73720136的博客
05-06 906
掌握文件上传的服务端检测中的后缀名检测原理,类似于php、asp、jsp等脚本文件得后缀不允许上传,通过上传.htaccess文件,利用.htaccess文件攻击,将内容符合PHP语法规则的文件当作PHP脚本来解析,从而实现解析上传的脚本文件。
htaccess绕过上传实验
m0_63645854的博客
09-12 546
利用上传htaccess文件解析漏洞绕过验证进行上传PHP脚本木马
网络安全就业前景好不好?0基础可以学吗?_入门级网络安全工程师好就业吗
2401_84301948的博客
04-27 266
对于从来没有接触过网络安全的同学,我们帮你准备了详细的。可以说是,大家跟着这个大的方向学习准没问题。
文件上传绕过方法汇总
xiaoheizi的博客
06-12 7299
先上传1.php,它的目的是让服务器上的php来创建一个2.php,我们在1.php被删除之前访问到他,就可以在服务器中创建2.php,2.php是一个木马文件,但是这个是系统自身创建的,所以不会被删除。假如我不断的上传发包,然后我同时也不断的访问那个我们上传上去的文件的地址,我们就开始和服务器的函数比手速了,函数执行都是要时间的,如果我这边上传上去,且没有删除,那个时间可能很短,然后被我访问到了,岂不是就可以执行PHP了。
iwebsec靶场 文件上传漏洞通关笔记5-.htaccess过滤绕过
mooyuan的博客
04-20 1118
htaccess文件全称是超文本入口,提供了针对目录改变配置的方法,即在一个特定的文档目录中放置一个包含一个或多个指令的文件,以作用于此目录及其所有子目录。htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。上传.htaccess文件,来绕过黑名单。(2)如何配置使.htaccess生效。
文件上传漏洞-绕过方式总结
Echo__h的博客
04-29 931
文件上传绕过方式 图片马制作
upload-labs Pass-04
weixin_48499033的博客
03-29 232
upload-labs Pass-04 这次的黑名单更加完善了 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp
文件上传绕过方法总结(入门必看)
最新发布
qq_65165505的博客
05-13 1801
常见文件上传绕过方法的总结
文件上传.htaccess绕过
05-11
其中一个绕过上传限制的方法是利用.htaccess文件,它是一个配置文件,可以用来控制 Apache 服务器的行为。通过修改.htaccess文件中的某些配置,黑客可以成功绕过文件上传限制。比如可以尝试修改.htaccess文件中的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值