在apache中,訪問:liuwx.php.360會從右往左識別字尾,存在解析漏洞的時候,會從右往左識別哪個能解析,360是不能被解析,然後往左識別到php就識別能解析,這就是apache的解析漏洞
網路環境安裝完後,直接安裝phpstudy:
安裝完phpstudy用到的版本是:
用apache搭建的**,預設的玩這個更目錄是:c:phpstudywww
開啟:
ok!這個時候我們的**已經環境都已經安裝完畢了!
apache檔案解析漏洞與使用者的配置有密切的關係,嚴格來說屬於使用者配置問題。apache檔案解析漏洞涉及到乙個解析檔案的特性。apache預設乙個檔案可以有多個以點.分割的字尾,當右邊的字尾無法識別,則繼續向左識別,發現字尾是php,交個php處理這個檔案。
首先建立了乙個liwux.shell的檔案:
很顯然.shell的檔案字尾是未知的字尾名,但是瀏覽器還是把它當做php執行解析了!
我們把字尾換成熟悉的格式:liwux.php.aaa:
可以看到,任然能夠正常的解析php
1、修改apache的主配置檔案:c:phpstudyapacheconfhttpd.conf
對apache的配置檔案做適當修改,在檔案中新增下面幾行**
order deny,allow deny from all7z apache解析漏洞 Apache 解析漏洞
漏洞知識庫 2019 11 14 18 54 22 安裝完phpstudy用到的版本是 用apache搭建的 預設的玩這個更目錄是 c phpstudywww 開啟 ok 這個時候我們的 已經環境都已經安裝完畢了 伺服器網域名稱 ip位址 192.168.119.134 192.168.119.13...
Apache檔案解析漏洞
addcharset us ascii ascii us ascii addcharset iso 2022 cn iso2022 cn cistext html html htm shtml text x diff diff patch video x flv flv video x la asf...
兩種檔案解析漏洞Apache檔案解析漏洞
用.做分隔符 如某檔名為 werner.html.qwe.arex,apache在處理時,先讀取最後乙個字尾,為 arex 一看,這啥玩意啊,不認識,繼續讀取下乙個字尾 qwe 一看,呀,這又是啥,還是不認識,繼續讀下乙個字尾 html 一看,哦,這是個超文字標記語言檔案,俗稱網頁檔案,這回認識了,...