文件上传漏洞——.htaccess和.user.ini配置文件的应用

最新推荐文章于 2023-03-16 21:20:47 发布
VIP文章 最新推荐文章于 2023-03-16 21:20:47 发布
阅读量1.4k 收藏 5
点赞数 1
分类专栏: 学习记录 文章标签: 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45742511/article/details/113817332
版权

一 . htaccess配置文件

htaccess文件是Apache服务器中的一个配置文件,只对该文件所在的目录下的文件起作用。

在htaccess配置文件下有这样一条配置:

AddType application/x-httpd-php .php .jpg

这条配置的意思是,php和jpg格式的文件,都会被当做php文件解析;我们可以在追加其他的后缀名,都将其解析为php文件;但是这样未免有些繁琐。

所以还有另外一条配置:

SetHandler application/x-httpd-php

这条配置,会将该目录下的所有文件当做php文件进行解析。

下面列出一个示例:

在uploads-labs的第四关中,几乎过滤掉了所有的脚本文件文件,源码如下:

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
   
    if (file_exists(UPLOAD_PATH)) {
   
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",
最低0.47元/天 解锁文章
「已注销」
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache服务器中.htaccess文件的实用配置示例集锦
09-10
主要介绍了Apache服务器中.htaccess文件的实用配置示例集锦,囊括了防盗链重定向及强制浏览器下载指定的文件类型等例子,很黄很暴力,需要的朋友可以参考下
CTFShow-WEB入门篇文件上传详细Wp(151-170)
最新发布
Aluxian_的博客
07-16 1926
【代码】CTFShow-WEB入门篇文件上传详细Wp(115-170)
文件上传漏洞学习
weixin_63231007的博客
04-20 2857
<1>概述 漏洞产生原因:服务端代码未对客户端上传的文件进行严格的验证和过滤,就容易造成可以上传任意文件的情况。 <2>文件上传绕过 (1)js检测绕过 1.删除js中检测文件的代码; 2.上传的文件改为允许的后缀绕过js检测后再抓包,把后缀名改为可执行的文件。 (2)文件后缀名绕过 1.绕过服务器限制上传文件的后缀 2.有些Apache是允许解析其他文件后缀名,例如httpd.conf中配置以下代码: AddType application/x-httpd-php
addhandler php5-script php,apache httpd解析漏洞复现
weixin_30141547的博客
03-18 167
实验环境:win10下运行phpstudy漏洞描述:(1)apache在解析文件时有一个原则:当碰到不认识的扩展名时,将会从后往前解析,直到遇到认识的扩展名为止(2)如果都不认识将会暴露源码。在apache配置不当的时候就会造成apache解析漏洞。复现过程:1、在httpd.conf里加入一句AddHandler application/x-httpd-php .php2、在WWW目录下创建一个...
在APACHE服务中加入PHP服务模块
weixin_43727933的博客
03-26 2789
在APACHE服务中加入PHP服务模块一、 下载PHP模块二、解压下载下来的PHP文件三、配置APACHE 文件3.1重命名PHP文件夹下的 php.ini-production为php.ini3.2修改Apache24文件夹下的CONF文件中的httpd.conf配置文件3.3在httpd.conf配置文件第191行添加解释器路径3.4 增加php后缀的文件类型,添加php模块文件路径3.5 检查PHP解释器是否安装成功3.6 用文本编辑器打开index.php文件添加PHP语法如下图所示 一、 下载PH
PHP文件上传漏洞
BrosyveryOK的博客
11-28 2101
上礼拜一直在搞期中测试和unctf,没啥时间整理,这礼拜继续整理!
文件上传漏洞——.user.ini.htaccess
zhhhb1005的博客
07-18 869
htaccess文件(“分布式配置文件”)提供了针对目录改变配置的方法,即,在一个特定的文档目录中放置一个包含一个或多个指令的文件,以作用于此目录及其所有子目录。作为用户,所能使用的命令将受到限制。管理员可以通过Apache的AllowOverride指令来设置。概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现重新解析规则绕过黑名单。...
文件上传.htaccess和.user.ini
m0_46587008的博客
05-20 1154
文章目录前言一、基本描述二、配置与使用三、实战1、总结 前言 提示:最近写文件上传的题目经常碰到关于.htaccess和.user.ini文件的使用问题,我不了解Apache和php配置文件,所以想借着这次机会好好着重了解一些这两个配置文件 一、基本描述 1、.htaccess。 百科对于.htaccess的解读是:htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/
.htaccess 和 .user.ini的使用方法
qq_63548648的博客
12-03 326
1
.htaccess和.user.ini
nigo134的博客
07-23 943
.htaccess是什么 .htaccess文件(或者"分布式配置文件")提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。 概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定
.htaccess上传漏洞(解析漏洞
m0_51607644的博客
08-17 3832
写在前边 漏洞学习三步走: 1.了解漏洞原理 2.知道漏洞形成条件,复现漏洞 3.解决如何防范 .htaccess上传漏洞 .htaccess文件作用 概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目 录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自 定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、 禁止目录列表、配置默认文档等功能。 Unix、Linux系统或者是任何版本的Apach
21个常用的apache .htaccess文件配置技巧分享
09-10
主要介绍了21个常用的apache .htaccess文件配置技巧分享,涵盖了网站中最常用的一些功能需求解决办法,需要的朋友可以参考下
mac 下 drupal .htaccess配置文件
11-02
mac电脑在xampp环境下搭建drupal使用的.htaccess配置文件,下载后将文件名改为.htaccess放在网站根目录即可。 如果网站不在根目录则放在对应级别的目录下 并修改htaccess文件119行和123行,将119行RewriteBase /...
apache .htaccess文件详解和配置技巧总结
01-10
 .htaccess是一个纯文本文件,它里面存放着Apache服务器配置相关的指令。 .htaccess主要的作用有:URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误...
通过配置.htaccess文件实现子目录绑定二级域名的方法
09-11
.htaccess文件 子目录绑定二级域名
文件上传之图片上传题目
ted_guangda的博客
03-16 144
我好想看一些好康的图片呜呜。
.htaccess利用方式
LYJ20010728的博客
05-08 1608
.htaccess利用方式文件解析文件包含源码泄露代码执行命令执行XSS自定义错误文件 文件解析 经常出现在文件上传的黑名单没有限制 .htaceess 后缀,通过上传 .htaccess 文件,再上传图片,使图片的 php 恶意代码得以被解析执行 .htaccess 文件内容有如下两种 (1)SetHandler 指令 # 将images.png 当做 PHP 执行 <FilesMatch "images.png"> SetHandler application/x-httpd-ph
文件上传漏洞详解 一文了解文件上传漏洞
闵行小鱼塘
09-29 2112
刷完了upload-labs,对文件上传漏洞有了些许认识,在此做个小结与记录
.htaccess文件上传漏洞复现
06-03
请注意,.htaccess文件本身并不会造成上传漏洞,它是一种用于配置Apache服务器的文件。我猜测您的问题是如何利用配置错误或者漏洞上传.htaccess文件来实现服务器攻击的。 一些常见的.htaccess文件上传漏洞如下: 1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值