【文件上传.htaccess重定解析规则】phpstudy apache本地配置.htaccess进行url重写

最新推荐文章于 2024-10-10 11:12:46 发布
最新推荐文章于 2024-10-10 11:12:46 发布
阅读量2.1k 收藏 5
点赞数 3
文章标签: apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53079406/article/details/123392043
版权

.htaccess配置文件介绍:

是Apache服务器中的一个配置文件,负责相关目录下的网页配置,能够实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
     Unix、Linux系统或任何版本的Apache Web服务器都是支持.htaccess的,但是有的主机服务商不允许自定义自己的.htaccess文件。

 

理解:

将.htaccess文件上传到一个特定的文档目录中,在.htaccess中放置一个或多个指令文件, 在此目录及其所有子目录都将受此指令的影响,从而能实现上传文件以其他方式执行,即上传漏洞。

打开配置:

如果LoadModule rewrite_module modules/mod_rewrite.so前面有#就将#去掉就打开了rewrite功能模块(我这个也是打开的)

点击vhost.conf: AllowOverride None, 改为 AllowOverride All 

 (我这个是All)

 

运用:

第一步:上传.htaccess文件重写解析规则绕过黑名单:

 实现:上传.htaccess文件到指定的目录,重写当前目录下的解析规则,上传图片马,打开图片马所在位置将以新指定的方式解析运行

phpstudy官网给出的.htaccess文件运用:

# 启动rewrite引擎
RewriteEngine on
# 将index.html 映射到 index.php
RewriteRule ^index.html$ /index.php
ThinkPHP5.1的.htaccess
<IfModule mod_rewrite.c>
  # 符号链接,也称为符号链接或软链接, 最类似于Windows快捷方式, 没它可能403错误
  Options +FollowSymlinks -Multiviews
  RewriteEngine On
  # 如果不是目录, 如果不是文件, 才将URL交给下一条规则处理
  RewriteCond %{REQUEST_FILENAME} !-d
  RewriteCond %{REQUEST_FILENAME} !-f
  RewriteRule ^(.*)$ index.php/$1 [QSA,PT,L]
</IfModule>

当我们在浏览器地址栏输入 index.html文件目录是, 实际上访问的是动态页面index.php

 

 一般实际过程中我们用到的.htaccess文件一般是以下情况:

第一种:

#在当前目录下,所有文件都会被解析成php代码执行

<IfModule >

setHandler application/x-httpd-php

</IfModule >

第二种:

仅xxx.png(指定文件)文件被解析PHP代码执行

这个指定文件可以是任何允许上传的文件

然后在里面写入代码

<FilesMatch "xxx.png">
setHandler application/x-httpd-php  
</FilesMatch> 

第二步:上传写入了执行语句的可上传文件

 

 第三步:一般是用蚁剑或者是菜刀进行连接

 

缺陷:

性能:

如果AllowOverride启用了.htaccess文件会导致性能的下降:

①Apache需要在所有上级目录中查找.htaccess配置文件,使所有有效的指令都起作用

②对于每一个请求,都需要读取一次.htaccess文件

例:

如果请求/a/b/www中的页面,Apache必须查找以下文件:
/.htaccess、/a/.htaccess、/a/b/.htaccess、/a/b/www/.htaccess

安全:

如果允许用户修改服务器的配置,有不可避免的文件篡改

如果给予用户较少的特权而不能满足其需要,则会带来额外的技术支持请求

黑色地带(崛起)
关注
nginx支持.htaccess文件实现伪静态(url重写),解决不同网站静态规则重复问题
友声网博客
03-17 1840
在 利用apache伪静态规则重写lighttpd伪静态规则的方法 文中提到lighttpd伪静态规则不可以重复假如您的规则最后如下:url.rewrite = (#zblog规则"^(.*)/read-(.*).html$"=>"$1/index.php?id=$1",#phpwind规则"^(.*)/read-(.*).html$" => "$1/read.php?tid=$2&page=$3
ThinkPHP隐藏index.php (在phpStudyApache+php环境下)入口文件的方法
Lishixian666的博客
07-18 3786
    因为本人根据Tp5文档配置隐藏index.php入口文件失败,根据网络和各种尝试最终成功,记录一下本人的设置方法,希望能帮到有类似问题的人。     直接上流程: 一、开启phpStudy下面的Apache重写模式,打开phpStudy下面的Apache配置文件httpd.conf,(如本人的是D:\work\phpstudy\PHPTutorial\Apache\conf\http...
.htaccess重定向和url重写详细介绍
09-10
.htaccess是需要apache打开虚拟主机支持.htaccess才可以实现下面的功能哦,下面我来介绍关于.htaccess阻止某些ip访问,重定向和url重写,限定访问特点资源,实现缓存等功能介绍
.htaccess重写规则
weixin_30710457的博客
12-01 185
.htaccess基本语法和应用 .htaccessApache服务器的一个非常强大的分布式配置文件。正确的理解和使用.htaccess文件,可以帮助我们优化自己的服务器或者虚拟主机。 如何启用htaccess 以windows为例,进入apache/conf目录,找到httpd.conf文件,去掉LoadModule rewrite_module modules/mod_rewrite....
文件上传-配置文件 (.htaccess和.user.ini)
最新发布
weixin_73904941的博客
10-10 712
文件上传-配置文件 (.htaccess和.user.ini)
文件上传 .htaccess
qq_69100706的博客
08-05 668
在CTF(Capture The Flag)竞赛中,利用.htaccess文件进行攻击是一种针对Web服务器配置的技巧,尤其是在Apache Web服务器环境下。.htaccess文件允许目录级别的配置,可以用来修改URL重写规则、设置自定义错误页面、限制IP访问、以及最重要的是,可以用来改变文件的处理方式,这在文件上传漏洞中尤其有用。
php 开启url重写,apache开启url重写的方法
weixin_42510222的博客
03-11 207
Apache 2.x 中URL重写,是通过mod_rewrite.so 来实现的,所以需要查看Apache 是否已经被编译进这个模块了,并且在Apache配置文件httpd.conf 中已经调用了这个模块。Linux下apache开启url重写的方法:1、打开 apache 里httpd.conf(通常是在/etc/httpd/conf目录里)2、找到 #LoadModule rewrite_m...
Thinkphp5 如何隐藏入口文件index.php(URL重写)
10-16
接下来需要配置服务器的配置文件以允许URL重写。这通常涉及到设置AllowOverride指令,将其从None改为All,这样Apache才会允许使用.htaccess文件中的指令。如果不确定具体要修改哪些地方,可以尝试搜索整个配置文件...
phpstudy.htaccess文件
07-07
.htaccess文件是用于配置Apache服务器的重要文件之一,它可以用来设置网站的URL重写规则、密码保护目录、自定义错误页面等功能。对于使用PHPStudy的用户来说,可以通过.htaccess文件来配置网站的访问权限、URL美化等...
.htaccess文件上传
08-12
- *2* *3* [【文件上传.htaccess重定解析规则phpstudy apache本地配置.htaccess进行url重写](https://blog.csdn.net/qq_53079406/article/details/123392043)[target="_blank" data-report-click={"spm":"1018....
apache php url重写语法,apache url重写实现伪静态
weixin_39560029的博客
03-12 150
前段时间项目为了配合seo的工作,把现有的php网站改成静态页面,刚拿到需求时候第一感觉就是用静态页面啊,可是看了一会以后发现页面有点多4、50个,没办法就用比较简单的url重写(apache的)吧,去掉这个前面的#,启用它LoadModule rewrite_module modules/mod_rewrite.soAllowOverride None 的None 改成All然后就是写.htac...
apache重写规则php,apache,URL重写启用,规则编写
weixin_33816734的博客
03-11 198
http://www.phpchina.com/resource/manual/apache/rewrite/index.htmlhttp://www.phpchina.com/resource/manual/apache/rewrite/rewrite_guide.html======================================================http://b...
文件上传 .htaccess 与.user.ini
devil8123665的博客
03-13 2595
htaccess uesr.ini
你传你X呢(文件上传 htaccess)
weixin_73668856的博客
12-11 221
htaccess的使用
文件上传漏洞之.htaccess文件
weixin_65279640的博客
04-17 904
提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有。简言之,.htaccess就是Apache服务器上的一个可以实现特殊功能的配置文件。http.conf文件中设置了 AllowOverried All ,才能使用.htaccess文件。通过htaccess文件,可以帮我们实现:网页。想要利用好.htaccess文件,我们就需要先了解一下什么是htaccess。,可以把特定文件转化成php执行的特性来进行文件上传漏洞利用。
文件上传之htaccess攻击
一个普普通通的博客
03-24 872
文件上传之htaccess攻击
关于上传.htaccess文件
weixin_43326436的博客
06-01 402
1.有时候因为名单的原因,只能上传php文件,而且并没有其他的东西解析成php,只有先上传一个.htaccess文件解析php才能继续上传。 2.建立一个.htaccess文件。内容这些 <FilesMatch “pino”> SetHandler application/x-httpd-php 这是原作大佬地址地址 3.使用 先将.htaccess文件上传,再建立一个pino文件,将一句话木马写入,连接的是pino文件地址,用菜刀或者蚁剑,就OK了。 ...
文件上传.htaccess文件利用
注定风是不羁旅人
11-21 1882
关于.htaccess文件又不懂的同学可以去点击以下链接去了解 点击这里 当我们遇到目标限制了很多文件后缀名的情况时,我们可以考虑使用.htaccess进行绕过 首先我们先上传一个.htaccess文件,文件内容如下 SetHandler application/x-httpd-php 这段内容的作用是使所有的文件都会被解析为php文件 上传成功之后我们准备上传木马 木马后缀名只要不是目标...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑色地带(崛起)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值