apache php解析漏洞,apache解析漏洞及修复方法

最新推荐文章于 2024-04-10 20:30:38 发布
最新推荐文章于 2024-04-10 20:30:38 发布
阅读量453 收藏 1
点赞数
文章标签: apache php解析漏洞

apache对文件后缀的解析方法是”.”后边的都是后缀,从后到前,如果后缀无效,会解析前一个,例如 1.php.x1.x2.x3 他会先解析x3,不存在解析x2,不存在解析x1,都不存在就只能解析php了。如图:

20130405193452613.jpg

定义后缀,但是不可能所有后缀都定义吧?x1.x2.x3可以换成任意后缀

例如1.php.a,.a没有定义,apache不明白a是什么后缀,就向前解析,也就是去解析php。

用伪静态能解决这个问题,重写类似.php.*这类文件

打开apache的httpd.conf

找到LoadModule rewrite_module modules/mod_rewrite.so

把#号去掉,重启apache,在网站根目录下建立.htaccess文件,代码如下:

RewriteEngine On

RewriteRule .(php.|php3.) /index.php

RewriteRule .(pHp.|pHp3.) /index.php

RewriteRule .(phP.|phP3.) /index.php

RewriteRule .(Php.|Php3.) /index.php

RewriteRule .(PHp.|PHp3.) /index.php

RewriteRule .(PhP.|PhP3.) /index.php

RewriteRule .(pHP.|pHP3.) /index.php

RewriteRule .(PHP.|PHP3.) /index.php

可能会误杀,对我来说暂时也没发现误杀。根据自己要求修改自己定义的执行php的后缀,用|隔开就行。 /index.php可以换成你想要显示的文件.

效果如图:

20130405193605247.jpg

莱茵行宫伯爵
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache后缀解析漏洞分析和防御方法
09-15
主要介绍了Apache后缀解析漏洞分析和防御方法,后缀解析漏洞通常通过伪造PHP后辍,来上传文件到服务器中,很致命的一漏洞,需要的朋友可以参考下
apachephp扩展名解析漏洞
weixin_34242331的博客
06-25 231
<from:http://www.sectop.com/post/33.html> 我们都知道windows2003 + IIS6.0下,如果目录结构中有xxx.asp这样的目录,那么所有这个目录下的文件不管扩展名为什么,都会当作asp来解析。我们一般称这个漏洞为 windows2003+iis6.0目录解析漏洞。但是大家可能不知道的是,apache服务器也存...
【linux】 apache后缀文件解析漏洞复现,2024年最新最新阿里P7技术体系
最新发布
2401_84254530的博客
04-10 345
为了做好运维面试路上的助攻手,特整理了上百道。
关于php apache后缀漏洞 附测试代码
shuicg的专栏
06-18 666
关于php apache后缀漏洞 附测试代码 很致命的漏洞,如果你的程序有这方面的问题。 主要危害是带上传功能的应用。 如果你是把上传的文件统一改名了还好。 如果没有改名。那么就危险拉。 如果他上传jpg,gif,zip还好说拉。如果他上一个 xxx.php.rar 的文件那么就轻松拿到你的web sheel 拉 。QUOTE: if($_GET[comm]!=) {     
Apache文件解析漏洞-01
09-15
Apache文件解析漏洞是一种基于Apache服务器的文件解析机制中的漏洞,攻击者可以通过构造特殊的文件名来欺骗Apache服务器,导致服务器错误地解析文件类型,从而导致安全漏洞的出现。 Apache文件解析漏洞的成因是...
apache漏洞汇总apache漏洞汇总
03-29
Apache-flink 未授权访问任意jar包上传反弹shell CVE-2019-0193 Apache-Solr via ...CVE-2019-17564 Apache-Dubbo反序列化漏洞 CVE-2020-13925 Apache Kylin 远程命令执行漏洞 CVE-2020-13957 Apache Solr 未授权上传
apache 二级域名解析实现方法
01-10
代码如下: RewriteEngine on RewriteMap lowercase int:tolower RewriteMap vhost txt:/usr/local/etc/apache/vhost.map RewriteCond ${lowercase:%{SERVER_NAME}} ^(.+)$ RewriteCond ${vhost:%1} ^(/.*)$ ...
Apache解析漏洞
m0_57379855的博客
04-17 2183
Apache解析漏洞Apache解析漏洞举例Apache 解析漏洞(CVE-2017-15715)环境准备安装docker下载CVE-2017-15715 Apache解析漏洞 Apache文件解析漏洞与用户的配置有密切关系。严格来说,属于用户配置问题,其实apache本身根本不存在所谓 的解析漏洞Apache默认一个文件可以有多个以点分隔的后缀,当右边的后缀无法识别(不在mime.types内),则继续向左识别。 当我们请求这样一个文件:1.php.aaa aaa ->无法识别,向左 php -
apache httpd 解析漏洞
07-17 507
漏洞背景:apache通过mod_php来运行脚本,其2.4.0-2.4.29中存在apache换行解析漏洞,在解析php时xxx.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。该漏洞属于用户配置不当产生的漏洞,与具体中间件版本无关。与其说这是漏洞,不如说是apache的特性,就是我们平常所说的从右向左解析是一样的。当apache遇到无法识别解析的文件后缀时,会向前解析,...
apache服务器有CVE-2022-2097漏洞怎么处理
weixin_42599558的博客
02-14 572
如果您的 Apache 服务器存在 CVE-2022-2097 漏洞,建议您立即采取以下措施来修复它: 检查 Apache 服务器的版本是否受影响,如果受影响请升级到安全版本。 如果无法升级,可以安装 Apache 的安全补丁。 如果您的 Apache 服务器部署了 Web 应用,请确保这些应用也是安全的,并且已经安装了最新的补丁。 对于系统管理员,可以通过限制对 Apache 服务器的访...
vulhub Apache HTTPD 多后缀解析漏洞漏洞复现
qq_48744846的博客
04-14 1681
Apache Httpd支持一个文件拥有多个后缀,不同的后缀执行不同的命令,也就是说当我们上传的文件中只要后缀名含有php,该文件就可以被解析php文件。 利用Apache httpd这个特性,就可以绕过上传文件的白名单。 该漏洞apache版本和php版本无关,属于用户配置不当造成的解析漏洞 环境启动后,访问http://x.x.x.x/uploadfiles/apache.php.jpeg可看到 PHP版本信息: phpinfo()被执行了,该jpeg文件被解析php脚本。 ..
【文件上传绕过】——解析漏洞_apache解析漏洞
weixin_45588247的博客
07-20 2165
文章目录一、实验目的:二、工具:三、实验环境:四、Apache 解析漏洞:1. 漏洞原理:2. 影响版本:3. 实验过程:3.1 模拟实验:3.2 upload-labs闯关游戏(Pass-04):五、其余配置问题导致的漏洞: 一、实验目的: 1、通过本次实验掌握apache解析漏洞原理。 2、通过upload-labs-master闯关游戏Pass-04,掌握apache解析漏洞技术。 二、工具: 火狐/谷歌浏览器 三、实验环境: 靶 机: windows10虚拟机:192.168.15.133
apache文件解析漏洞
xdjxi的博客
03-07 463
.使用Docker搭建环境 1.首先拉取一个基础镜像 docker pull ubuntu:18.04 启动一个容器 docker run --name apachejs -itd -p 80:80 ubuntu:18.04 进入容器 docker exec -it apachejs bash 更换apt源 echo "deb http://mirrors.aliyun.com/ubuntu/ bionic main restricted universe mul...
Apache Http Server安全漏洞解决
热门推荐
DaiSnow的博客
04-21 1万+
场景:公司使用的大数据集群云服务器,安全扫描出严重漏洞,扫描漏洞如下: 安全漏洞扫描报告 端口 协议 服务 严重等级 漏洞 – ICMP – 弱 ICMP timestamp请求响应漏洞 – UDP – 弱 允许Traceroute探测 80 TCP http 严重 严重 严重 严重 严重 弱 OpenSSL 安全漏洞(CVE-2022-0778) Apache HTTP Server 环境问题漏洞(CVE-2022-22720) Apache HTTP Server 输入验证错误漏
Apache Tomcat 漏洞复现
来日可期的博客
09-08 4201
Tomcat7 弱密码和后端 Getshell 漏洞,Aapache Tomcat AJP任意文件读取/包含漏洞,通过 PUT 方法的 Tomcat 任意写入文件漏洞
安全中级3:apache中间件漏洞
weixin_62870380的博客
06-06 1503
运维人员在配置http的默认配置文件的时候,开启了AddHandler application/x-httpd-php .php,虽然限制住了php文件,但是我们可以添加后缀.jpg,只要我们的后缀含有一个php文件就可以解析,没必要是最后一个后缀。我们上传php文件的时候,我们的服务器拒绝上传,但是 apache在配置文件的http.conf的时候开启了SSI(服务器端包含)服务,允许我们的html页面上传shtml文件,而我们的cgi是前端的一个脚本,我们利用他的语法执行任意的命令。
Apache文件解析漏洞影响版本
07-10
Apache文件解析漏洞(也被称为Apache Content Negotiation漏洞)影响的版本是Apache HTTP Server 2.4.49之前的版本。这个漏洞可能导致攻击者通过发送特制的请求来绕过文件扩展名检查,访问服务器上的敏感文件。建议用户尽快升级到2.4.49或更高版本,以修补这个漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值