7z apache解析漏洞 Apache 解析漏洞

2021-10-14 08:21:25 字數 1487 閱讀 2500

在apache中,訪問:liuwx.php.360會從右往左識別字尾,存在解析漏洞的時候,會從右往左識別哪個能解析,360是不能被解析,然後往左識別到php就識別能解析,這就是apache的解析漏洞

網路環境安裝完後,直接安裝phpstudy:

安裝完phpstudy用到的版本是:

用apache搭建的**,預設的玩這個更目錄是:c:phpstudywww

開啟:

ok!這個時候我們的**已經環境都已經安裝完畢了!

apache檔案解析漏洞與使用者的配置有密切的關係,嚴格來說屬於使用者配置問題。apache檔案解析漏洞涉及到乙個解析檔案的特性。apache預設乙個檔案可以有多個以點.分割的字尾,當右邊的字尾無法識別,則繼續向左識別,發現字尾是php,交個php處理這個檔案。

首先建立了乙個liwux.shell的檔案:

很顯然.shell的檔案字尾是未知的字尾名,但是瀏覽器還是把它當做php執行解析了!

我們把字尾換成熟悉的格式:liwux.php.aaa:

可以看到,任然能夠正常的解析php

1、修改apache的主配置檔案:c:phpstudyapacheconfhttpd.conf

對apache的配置檔案做適當修改,在檔案中新增下面幾行**

order deny,allow deny from all
2、禁止.php.檔案的訪問權

7z apache解析漏洞 Apache 解析漏洞

漏洞知識庫 2019 11 14 18 54 22 安裝完phpstudy用到的版本是 用apache搭建的 預設的玩這個更目錄是 c phpstudywww 開啟 ok 這個時候我們的 已經環境都已經安裝完畢了 伺服器網域名稱 ip位址 192.168.119.134 192.168.119.13...

Apache檔案解析漏洞

addcharset us ascii ascii us ascii addcharset iso 2022 cn iso2022 cn cistext html html htm shtml text x diff diff patch video x flv flv video x la asf...

兩種檔案解析漏洞Apache檔案解析漏洞

用.做分隔符 如某檔名為 werner.html.qwe.arex,apache在處理時,先讀取最後乙個字尾,為 arex 一看,這啥玩意啊,不認識,繼續讀取下乙個字尾 qwe 一看,呀,這又是啥,還是不認識,繼續讀下乙個字尾 html 一看,哦,這是個超文字標記語言檔案,俗稱網頁檔案,這回認識了,...