| 关键词: 漏洞 Apache 文件 后缀 php Phpstudy 配置 服务器 119.134 |
Apache解析漏洞在Apache中,访问:liuwx.php.360会从右往左识别后缀,存在解析漏洞的时候,会从右往左识别哪个能解析,360是不能被解析,然后往左识别到php就识别能解析,这就是Apache的解析漏洞 漏洞复现环境Windows Server 2003_x64 ![]() 提示:如果物理主机Ping不通2003,那么就吧2003的防火墙关闭就可以了! 网络环境安装完后,直接安装Phpstudy: ![]() 安装完Phpstudy用到的版本是: Apache + PHP 5.2 ![]() 用Apache搭建的网站,默认的玩这个更目录是:C:phpstudyWWW ![]() 打开:http://192.168.119.134/1.txt ![]() OK!这个时候我们的网站已经环境都已经安装完毕了! ![]() 服务器域名/IP地址t:192.168.119.134(192.168.119.134) 漏洞原理Apache文件解析漏洞与用户的配置有密切的关系,严格来说属于用户配置问题。Apache文件解析漏洞涉及到一个解析文件的特性。Apache默认一个文件可以有多个以点.分割的后缀,当右边的后缀无法识别,则继续向左识别,发现后缀是php,交个php处理这个文件。 漏洞复现首先创建了一个liwux.shell的文件: ![]() 很显然.shell的文件后缀是未知的后缀名,但是浏览器还是把它当做php执行解析了! ![]() 我们把后缀换成熟悉的格式:liwux.php.aaa: ![]() 可以看到,任然能够正常的解析php 漏洞防御1、修改Apache的主配置文件:C:phpstudyApacheconfhttpd.conf 对apache的配置文件做适当修改,在文件中添加下面几行代码
2、禁止.php.文件的访问权限 好了,这篇文章就到此为止,喜欢的小伙伴可以转发+评论,下期我会出一个视频来讲解这篇文章哦~ |
| 本文出处: https://www.toutiao.com/a6759113996919374350/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|