apache不能解析php文件_Web中间件漏洞之Apache篇

最新推荐文章于 2023-02-20 18:15:33 发布
最新推荐文章于 2023-02-20 18:15:33 发布
阅读量82 收藏
点赞数
文章标签: apache不能解析php文件

Apache简介

Apache 是世界使用排名第一的 Web 服务器软件。

它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的 Web 服务器端软件之一。

它快速、可靠并且可通过简单的 API 扩充,将 Perl/Python 等解释器编译到服务器中。

解析漏洞

漏洞介绍及成因

Apache 文件解析漏洞与用户的配置有密切关系,严格来说属于用户配置问题。

Apache 文件解析漏洞涉及到一个解析文件的特性:

Apache 默认一个文件可以有多个以点分隔的后缀,当右边的后缀无法识别(不在 mime.tyoes 内),则继续向左识别,当我们请求这样一个文件:

shell.php.xxx.yyy

yyy ->无法识别,向左

xxx ->无法识别,向左

php ->发现后缀是 php,交给 php 处理这个文件

漏洞复现

上传一个后缀名为360的php文件

4ea93b1d7bf9519a7179393db6e0f0d7.png

正常解析

漏洞修复

将 AddHandler application/x-httpd-php .php 的配置文件删除。

目录遍历

漏洞介绍及成因

由于配置错误导致的目录遍历

漏洞复现

dce39a105894616922c2c0cdc8878a35.png

漏洞修复

修改 apache 配置文件 httpd.conf

找到 Options +Indexes +FollowSymLinks +ExecCGI 修改成 Options -Indexes+FollowSymLinks +ExecCGI 并保存;

2293955f75f8308b1b8b816ab3ac8885.png
afb9c5c84239618e43f6498ebae249ec.png
weixin_39754267
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache中间件漏洞
记录并分享学习安全的知识点..
04-08 402
目录 一、简介 二、解析漏洞 (一)未知扩展名解析漏洞 (二)AddHandler导致的解析漏洞 (三)Apache HTTPD 换行解析漏洞( 换 CVE-2017-15715) 修复建议:
Apache中间件漏洞深析
weixin_49340699的博客
08-16 291
Apache中间件漏洞深析Apache介绍运行原理介绍apche解析php流程Apache攻击手段换行解析漏洞多后缀解析漏洞SSI远程命令执行漏洞 Apache介绍 Apache是世界使用排名第一的服务器软件。快速可靠可通过简单的API扩充,将Per/Python等解释器编译到服务器中。 目录结构 bin ———————— 用于存放命令工具 如httpd cgi-bin —————— 存放Linux下的常用命令 conf
中间件漏洞 -- Apache
weixin_44769042的博客
11-13 600
中间件漏洞记录--2
Apache中间件漏洞学习
E1even的博客
10-19 3794
Apache HTTPD 换行解析漏洞(CVE-2017-15715) 原理: apache2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略 复现: 首先这里查看index.php <?php if(isset($_FILES['file'])) { $name = basename($_POST['name']); $ext = pathinfo($name,PATHINFO_EXTENSI
Apache ActiveMQ技术
04-26
Apache ActiveMQ 是一款开源的消息中间件,它遵循Java消息服务(JMS)规范,提供高效、可靠的异步消息传递服务。这款技术不仅限于Java平,还支持多种编程语言,如C、C++、C#、Ruby、Perl、Python和PHP等,极大地...
食小秒表中间件:食小秒表中间件
02-06
食堂秒表中间件安装composer req csa/guzzle-stopwatch-middleware升级尽管我尝试保证捆绑软件与以前的版本具有向前兼容性。 以下是每个版本之间的升级说明。 请参阅 。文献资料贡献Guzzle秒表中间件是一个开源项目...
php-pow-powered:运行运行Pow.cxPHP网站,最终实现无Apache的开发!
04-29
PHP Pow供电该项目使用Rack中间件在上托管PHP应用程序。 使用和只要保存了源文件,浏览器就会自动刷新(使用注入CSS文件甚至更快)。如何在您的项目中使用克隆此存储库,然后将这些文件复制到jour PHP项目的根目录中...
linux15-web服务器
08-10
在这个领域,主要的焦点是Apache、Nginx、Lighttpd、IBM WebSphere、Tomcat、JBoss以及WebLogic等Web服务器软件。这些服务器软件各自拥有独特的特性和用途,广泛应用于网站托管、应用程序服务以及中间件解决方案。 ...
tp6_study
03-31
ThinkPHP 6.0 运行环境要求PHP7.1 +。 主要新特性 采用PHP7强类型(严格模式) ...本项目包含的第三方二进制和二进制文件之版权信息补充标注。 版权所有版权所有:copyright:2006-2020 ThinkPHP( ) 版权所有。
中间件漏洞合集.zip
07-15
注:仅供学习使用,不能用于非法用途,大家可以根据需要下载。
中间件安全—Apache常见漏洞
剁椒鱼头没剁椒的博客
02-20 6761
Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。apache httpd支持一个文件多个后缀,windows对于多后缀的识别是看最后一个“.”之后的后缀名。apache对于多后缀文件的识别是从后往前识别,最后一个后缀不能被识别时,会往前识别。
学习日志4:web中间件漏洞-Apache
m0_37622973的博客
09-03 268
Apache漏洞 什么是ApacheApache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平上,由于其跨平和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器漏洞: 1.文件解析漏洞: (1)Apache从右向左解析文件名,若无法识别,则继续向左解析,例如a.php.a...
Web漏洞_中间件解析漏洞apache、IIS、nginx)
BeatRex的博客
05-26 737
一、apache解析漏洞 apache解析文件时,会从右向左解析。如对于文件1.php.sss.assa,此时先解析assa格式,无法解析则进行解析sss格式,同样无法解析最后解析php格式以php进行解析apache可以解析php文件的后缀:phtml、pht、php3、php4、php5。当服务器采取黑名单的验证方法时,可以尝试将php文件的后缀改为上述后缀尝试绕过。 二、IIS解析...
中间件】一些中间件的相关漏洞总结
Monsterlz123的博客
07-16 2123
中间件】一些中间件的相关漏洞总结 Hello,各位小伙伴晚上好~ 这里是你们连续三天发文,高产似母猪的小编。 今天跟大家唠唠一些常见的中间件漏洞 包括常见的IIS、Apache、Nginx以及Tomcat 废话不多说,让我们直接开始吧~ (好啦我承认今天的表情包是因为好想去迪斯尼,难道是上年纪了吗,嗯?) 目录 一、IIS IIS 6.0 解析漏洞 IIS 7.5 解析漏洞 IIS 6...
apache不能解析php文件_Apache-解析漏洞
weixin_39960793的博客
11-12 252
大家好,我是阿远,今天给大家分享一下Apache解析漏洞的原理Apache解析漏洞Apache中,访问:liuwx.php.360会从右往左识别后缀,存在解析漏洞的时候,会从右往左识别哪个能解析,360是不能解析,然后往左识别到php就识别能解析,这就是Apache解析漏洞漏洞复现环境Windows Server 2003_x64ApachePhpStudy提示:如果物理主机Ping不通20...
深入浅出带你学习Apache中间件常见漏洞
Spontaneous_0的博客
02-19 460
深入浅出带你学习Apache中间件常见漏洞
Apache中间件漏洞复现
mingyqf的博客
02-13 1744
kali复现apache未知扩展名解析漏洞 2. 复现 我上传了一个名字叫shell.php.aaa 的文件,当此特性存在的时候,一看.aaa不认识, 继续解析,.php我认识,解析php文件了。访问也是同理,比如访问phpinfo.php.qqq可成功显示phpinfo 那么哪些后缀Apache不认识? 不在mime.types当中的都不认识 (Multipurpose Internet Mail Extensions) sudo service apache2 restart cd /etc/apac
Web中间件常见漏洞总结
热门推荐
bylfsj的博客
10-22 1万+
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 *本文作者:ningjing,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。 一、 常见web中间件及其漏洞概述 (一) IIS 1、PUT漏洞 2、短文件名猜解 3、远程代码执行 4、解析漏洞 (二) Apach...
centos7 apache不能解析 php5.6
最新发布
06-09
要让Apache能够解析PHP5.6,您需要执行以下步骤: 1. 安装PHP5.6 您需要安装PHP5.6及其相关组件。可以通过以下命令安装: ``` sudo yum install epel-release yum-utils sudo rpm -Uvh ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值