apache2.4.7漏洞_Web中间件漏洞之Apache篇_小白网络安全自学

最新推荐文章于 2024-07-08 09:24:04 发布
最新推荐文章于 2024-07-08 09:24:04 发布
阅读量302 收藏
点赞数 2
文章标签: 漏洞 文件 解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/saystan/article/details/139628172
版权

apache2.4.7漏洞_Web中间件漏洞之Apache篇_小白网络安全自学

简介

是世界使用排名第一的 Web 服务器软件。

它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的 Web 服务器端软件之一。

它快速、可靠并且可通过简单的 API 扩充,将 Perl/ 等解释器编译到服务器中。

解析漏洞漏洞介绍及成因

文件解析漏洞与用户的配置有密切关系,严格来说属于用户配置问题。

文件解析漏洞涉及到一个解析文件的特性:

默认一个文件可以有多个以点分隔的后缀,当右边的后缀无法识别(不在 mime.tyoes 内),则继续向左识别,当我们请求这样一个文件:

shell.php.xxx.yyy

yyy ->无法识别,向左

xxx ->无法识别,向左

php ->发现后缀是 php,交给 php 处理这个文件

漏洞复现

上传一个后缀名为360的php文件

apache2.4.7漏洞_漏洞解析与攻防实战_apache解析漏洞

正常解析

漏洞修复

将 /x-httpd-php .php 的配置文件删除。

目录遍历漏洞介绍及成因

由于配置错误导致的目录遍历

漏洞复现

漏洞解析与攻防实战_apache2.4.7漏洞_apache解析漏洞

漏洞修复

修改 配置文件 httpd.conf

找到 ++ +修改成 -+ + 并保存;

apache2.4.7漏洞_apache解析漏洞_漏洞解析与攻防实战

~

网络安全学习,我们一起交流

~

程序员六七
关注
Apache中间件漏洞
记录并分享学习安全的知识点..
04-08 418
目录 一、简介 二、解析漏洞 (一)未知扩展名解析漏洞 (二)AddHandler导致的解析漏洞 (三)Apache HTTPD 换行解析漏洞( 换 CVE-2017-15715) 修复建议:
漏洞复现(Vulhub)-Apache HTTPD 换行解析漏洞(CVE-2017-15715)
qq_60848021的博客
09-20 1319
原理:apache-CVE-2017-15715 的出现是由于apache 在修复第一个后缀名解析漏洞时,使用 正则表达式匹配后缀,在解析php时xxx.php\\x0A 将被php后缀进行解析,导致绕过一些服务器的安全策略。命令含义:--zone #作用域 --add-port=80/tcp #添加端口,格式为:端口/通讯协议 --permanent #永久生效,没有此参数重启后失效。firewall-cmd --list-ports 查看所有开启的端口。成功出现php配置文件界面,说明解析成功。
网络安全】手把手给大家演练渗透项目
dzqxwzoe的博客
05-18 965
扫描挖掘本地的 IP 地址信息:编辑发现开放了 25、80 端口,25 端口是 SMTP 端口服务,80 端口扫描出了是乌班图的系统,该 apache 的版本为 2.4.7,接下来访问下 http 的 80 端口。,显示的文本提示了一条线索,它说进入到/sev-home/目录中。这时候来到 http 主页查看源码:编辑在编辑通过对话可知信息中存在两个人名,以及告知了密码信息。
中间件安全—Apache常见漏洞
最新发布
Innocence_0的博客
07-08 946
简单介绍一下apache是什么,Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将python等解释器编译到服务器中。ApacheHTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。apache
apache路径穿越与ssrf漏洞复现
Shanfenglan's blog
12-02 3868
文章目录1. Apache HTTP Server 2.4.48 mod_proxy SSRF (CVE-2021-40438)1.1 利用2. apache 2.4.49 (CVE-2021-41773) 路径穿越与任意文件读取2.1 利用3. apache 2.4.50 路径穿越漏洞(CVE-2021-42013)3.1 利用参考文章 1. Apache HTTP Server 2.4.48 mod_proxy SSRF (CVE-2021-40438) 影响版本: 2.4.48以前 Apache HT
apache不能解析php文件_Web中间件漏洞Apache
weixin_39754267的博客
11-27 101
Apache简介Apache 是世界使用排名第一的 Web 服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的 Web 服务器端软件之一。它快速、可靠并且可通过简单的 API 扩充,将 Perl/Python 等解释器编译到服务器中。解析漏洞 漏洞介绍及成因Apache 文件解析漏洞与用户的配置有密切关系,严格来说属于用户配置问题。Apache 文件...
中间件漏洞 -- Apache
weixin_44769042的博客
11-13 714
中间件漏洞记录--2
lnmp_base_centos8_php8_apache2.4.7z
06-12
标题“lnmp_base_centos8_php8_apache2.4.7z”表明这是一个关于在CentOS8系统上搭建LNMP(Linux + Nginx + MySQL/Percona + PHP)环境的压缩包,其中主要包含了PHP8.0.7、Apache2.4.28和Percona-Server8.0.22的基础...
mod_jk for apache2.4.7
12-15
自己在APACHE2.4.7x64编译成功的mod_jk,希望大家不要再走弯路,我编译了好久,才最后得到正果。
中间件漏洞合集.zip
07-15
注:仅供学习使用,不能用于非法用途,大家可以根据需要下载。
apache2.4.7 x86/32位
01-18
Apache 2.4 binaries VC11安装包,采用vc11进行编译的,如果你不确认是否有vcredist_x86/x64dll的话,就到http://www.microsoft.com/zh-CN/download/details.aspx?id=30679 去下载:vcredist_x86.exe 或vcredist_x...
文件解析漏洞总结-Apache
热门推荐
若水斋
08-10 2万+
本文详细论述、测试了Apache的三种文件解析漏洞:多后缀名、罕见后缀和利用.htaccess
apache漏洞复现-多后缀解析漏洞,换行解析漏洞2.4.49,2.4.50
weixin_64655821的博客
10-13 2119
apache漏洞复现-多后缀解析漏洞,换行解析漏洞2.4.49,2.4.50
Apache中间件漏洞深析
weixin_49340699的博客
08-16 406
Apache中间件漏洞深析Apache介绍运行原理介绍apche解析php流程Apache攻击手段换行解析漏洞多后缀解析漏洞SSI远程命令执行漏洞 Apache介绍 Apache是世界使用排名第一的服务器软件。快速可靠可通过简单的API扩充,将Per/Python等解释器编译到服务器中。 目录结构 bin ———————— 用于存放命令工具 如httpd cgi-bin —————— 存放Linux下的常用命令 conf
Apache中间件漏洞学习
E1even的博客
10-19 3904
Apache HTTPD 换行解析漏洞(CVE-2017-15715) 原理: apache2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略 复现: 首先这里查看index.php <?php if(isset($_FILES['file'])) { $name = basename($_POST['name']); $ext = pathinfo($name,PATHINFO_EXTENSI
中间件漏洞Apache HTTPD 漏洞全集复现(基于Vulhub平台)
Continuejww的博客
09-11 860
①CVE-2017-15715 ②多后缀解析漏洞 ③远程命令执行漏洞 ④CVE-2021-41773 ⑤CVE-2021-42013 ⑥CVE-2021-40438
msf渗透测试漏洞产生的原因
06-14
Msf(Metasploit Framework)是一个广泛使用的渗透测试工具,它主要用于安全评估和漏洞利用。漏洞产生的原因可以归结为几个方面: 1. 缺乏安全编码实践:开发人员在编写软件时可能没有遵循最佳的安全实践,导致代码存在漏洞,如未正确处理输入验证、权限管理不当等。 2. 软件更新滞后:如果应用程序没有及时获取最新的安全补丁,已知的漏洞就可能被利用,因为攻击者会寻找那些还未修复的弱点。 3. 第三方库问题:依赖的第三方库可能存在安全漏洞,如果没有及时更新或测试,这些漏洞可能会被引入到应用中。 4. 用户权限分离失效:系统设计中的权限控制若存在问题,可能导致攻击者能够越权访问敏感信息或执行他们不应有的操作。 5. 网络配置失误:如默认路由设置、端口暴露或防火墙规则不恰当,都可能使攻击者能够轻易地访问目标系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值