刚看到的apache的漏洞,可怕呀!!!

最新推荐文章于 2024-05-01 02:15:21 发布
最新推荐文章于 2024-05-01 02:15:21 发布
阅读量2.1k 收藏
点赞数
分类专栏: php 服务器 文章标签: php apache 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/skfzc/article/details/48340667
版权

      应该是我孤陋了,刚看到了一个apache的漏洞,上传一个***.php.***的文件,可以被当作.php来执行,可以试一下,写入:<?php echo "hello";?>,存成123.php.rar,然后在地址栏输入文件名,显示出来的真的是“hello”,我晕!木马文件轻而易举的就伪装了,太可怕了!

      对上传的文件做检查吧,还有个比较偷懒的方法,就是在.htaccess里临时禁止一下吧,在.htaccess里写入:
    <FilesMatch "\.php\.">
      order deny,allow
      deny from all
    </FilesMatch>

我又加了一句:RewriteRule ^(\w+).php.(\w+)$ index.php,双保险应该没事了吧!

skfzc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
apache2.4.18
03-27
linux 编译通过,可以使用,编译时需要依赖库apr,apr-iconv,apr-util,openssl,pcre
lenses-jdbc-spark:通过JDBC与Kafka一起使用Apache Spark !!!
05-15
标题 "lenses-jdbc-spark:通过JDBC与Kafka一起使用Apache Spark" 提到的是一个集成项目,它旨在利用Java开发的JDBC驱动程序,将Apache Spark与Apache Kafka进行连接。Apache Spark是一个用于大数据处理的开源计算...
Apache Superset中存在严重漏洞
smellycat000的专栏
01-17 1357
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开源数据可视化和数据探索平台Apache Superset 发布七份安全公告。Apache Superset 是一款现代数据探索和数据可视化平台,能够为很多团队替代或扩充专有的业务情报工具,能够很好地集成多种数据来源。Apache Superset 的SQL Alchemy 连接器中存在一个严重的SQL注入漏洞 (CVE-2022-41703),...
2024年最全【linux】 apache多后缀文件解析漏洞复现(1)
最新发布
m0_60144796的博客
05-01 67
【代码】2024年最全【linux】 apache多后缀文件解析漏洞复现(1)
漏洞复现】Apache_Tomcat_PUT方法任意写文件(CVE-2017-12615)
过期的秋刀鱼
11-04 763
当 Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。用burpsuite 进行抓包并做如下修改(GET请求改为PUT,修改名字,并在下面添加jsp的shell)即可看到Tomcat的Example页面。工具扫出来的结果,验证漏洞存在。
【文件上传漏洞-02】利用PUT方法上传文件—以Apache为例
m0_64378913的博客
05-31 6772
目录1 http协议请求方法概述2 Apache开启PUT请求方法的过程2.1 实验环境2.3 查询已开启的请求类型2.3 开启put方法3 文件上传漏洞利用3.1 上传PHP探针3.2 上传WebShell4 总结参考文章 1 http协议请求方法概述 具体http/https协议及通信过程可以参考文章《【基础协议】HTTP/HTTPS协议及其工作流程》 常见的请求方法及概述 GET:向特定的资源发出请求。 POST:向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。PO
文件解析漏洞总结-Apache
热门推荐
若水斋
08-10 2万+
本文详细论述、测试了Apache的三种文件解析漏洞:多后缀名、罕见后缀和利用.htaccess
apache漏洞汇总apache漏洞汇总
03-29
Apache-flink 未授权访问任意jar包上传反弹shell CVE-2019-0193 Apache-Solr via ...CVE-2019-17564 Apache-Dubbo反序列化漏洞 CVE-2020-13925 Apache Kylin 远程命令执行漏洞 CVE-2020-13957 Apache Solr 未授权上传
How-to-install-apache-on-ubuntu.rar_Ubuntu!
09-22
如果一切正常,你应该能看到Apache的欢迎页面。 为了增加安全性,我们通常会禁用Apache的默认站点。执行以下命令: ```bash sudo a2dissite 000-default.conf ``` 然后启用一个更安全的配置,如`apache2.conf`: ...
Apache后缀名解析漏洞分析和防御方法
01-20
但是大家可能不知道的是,apache服务器也存在类似的解析漏洞。 我们来做下实验,我在本地搭建好了一个apache+php的测试平台: 两个文件phpinfo.php phpinfo.php.a ,我们来访问下phpinfo.php.a: ...
SecuringApache2.rar_Step on it!
09-24
Securing Apache 2: Step-by-Step When choosing a web server, Apache very often wins against its competitors because of stability, performance, that fact that it s open source, and many other ...
PUT中间件上传漏洞
weixin_45007073的博客
01-13 2456
先介绍一下PUT上传漏洞的原理 我们常见的中间件有apache,tomcat,IIS,weblogic(其实就是web容器),这些中间件可以设置支持的HTTP方法。每一个HTTP方法都有其对应的功能,在这些方法中,PUT可以直接从客户机上传文件到服务器。如果中间件开放了HTTP中的PUT方法,那么恶意攻击者就可以直接上传webshell到对应的服务器上。 靶机搭建 链接:https://pan.baidu.com/s/1l_LILZgjUZ6ASrFQq9X22A 提取码:lsq0 漏洞复现 使用netd
Apache activeMQ漏洞复现put和move方法
ranuy阮的博客
04-19 2015
漏洞说明 Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务,集群,Spring Framework等。Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java消息服务(JMS)ObjectMessage对象利用该漏洞执行任意代码...
php7.2.0 漏洞,N/A Apache 2.4.7 + PHP 7.0.2 - 'openssl_seal()' Uninitialized Memory Code Execution-漏洞情报...
weixin_39758392的博客
03-27 606
// Source: http://akat1.pl/?id=1function get_maps() {$fh = fopen("/proc/self/maps", "r");$maps = fread($fh, 331337);fclose($fh);return explode("\n", $maps);}function find_map($sym) {$addr = 0;foreach(...
CVE-2021-41773 Apache HTTP Server漏洞复现
问题很多的小明
10-08 5001
存在漏洞的版本:仅影响Apache HTTP Server 2.4.49版本 推荐环境:GitHub - blasty/CVE-2021-41773: CVE-2021-41773 playground 下载后: docker-compose build && docker-compose up 如果遇到: 则进入容器,修改 vim /etc/apache2/apache2.conf 最后一行加入: ServerName localhost:80 修改后.
apache代码执行(cve-2021-41773)漏洞复现
weixin_42675091的博客
09-23 906
apache代码执行(cve-2021-41773)漏洞复现
最新Apache漏洞分析
二狗的博客
12-30 1976
2021年9月16日,Apache官方发布了Apache httpd mod_proxy SSRF漏洞CVE-2021-40438,影响v2.4.48及以下版本。该漏洞影响范围较广,危害较大,利用简单,不得不引起重视。该ssrf代理访问漏洞适用于apache的绝大多是版本,相对来说漏洞原理比较简单,隐藏了多年也是很不容易了,至于危害的话,笔者认为危害还是挺大的,可以访问到服务器内部一些不对外开放的http端口及uds文件。
apache server_status详解
weixin_34341229的博客
11-22 317
Srv:子服务器数量-进程号 PID:系统进程PID Acc:成功连接数/子进程成功连接数/线程成功连接数 M :当前状态 CPU:进程消耗CPU资源 SS :距离上一次处理请求的时间 Req:最后一次处理请求的时间,单位为毫秒 Conn:当前连接所传输的数据量 Child:子进程所传输的数据量 Slot:线程所传输的数据量 Client:客户端IP地址...
关于漏洞,被迫升级apache事件
weixin_45444042的博客
02-17 597
起因:安全扫描漏洞apache某某某漏洞,需要将apache升级到2.4.47以上版本 一:升级前检查准备 1. 准备apache相关软件包 百度网盘: https://pan.baidu.com/s/1FgSD_ZsvGUK04cN7w8mrZw 提取码: ln66 [root@node1 ~]# ls apr-1.7.0.tar.gz apr-util-1.3.12.tar.gz httpd-2.4.51.tar.gz pcre-8.10.zip 2.查看当前apache版本信息 使用命令:ap
教程:apache spark sql入门及实践指南!
03-16
Apache Spark SQL是一种基于Apache Spark的分布式计算引擎,它提供了一种高效的方式来处理大规模数据集。本教程将带您了解Spark SQL的基础知识和实践指南,包括如何使用Spark SQL进行数据处理、如何使用Spark SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值