apache httpd 解析漏洞
2020-02-03 03:25
3043 查看
漏洞背景:
apache通过mod_php来运行脚本,其2.4.0-2.4.29中存在apache换行解析漏洞,在解析php时xxx.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。
该漏洞属于用户配置不当产生的漏洞,与具体中间件版本无关。与其说这是漏洞,不如说是apache的特性,就是我们平常所说的从右向左解析是一样的。当apache遇到无法识别解析的文件后缀时,会向前解析,如xxx.php.123.456,在mime.types文件中如果不存在.123/.456这两种后缀,那么apache会将该文件解析为php。同样也可以在httpd.conf文件中更改参数或是直接配置.htaccess。
直接上传个php一句话***后缀名为1.php.jgp,然后用蚁剑连接,就可以了。
这就连接上了
- 点赞
- 收藏
- 分享
- 文章举报
相关文章推荐
- apache httpd多后缀解析漏洞复现
- Apache 漏洞之后缀名解析漏洞
- Dedecms通杀重装漏洞 利用apache解析+变量覆盖
- Apache Httpd 2.2 配置全解析(CentOS6)
- 防恶意解析,禁止用IP访问网站的Apache设置 修改 httpd.conf 实现
- Apache后缀名解析漏洞分析和防御方法
- 关于Apache HTTPD 2.2.15的部分漏洞修复建议
- Apache Httpd 2.2 配置全解析(CentOS6)
- 解析apache的httpd.conf配置内容
- 浅析Apache服务器扩展名解析漏洞
- Apache解析漏洞详解
- i春秋:警惕Apache站上的解析缺陷绕过上传漏洞
- Apache文件解析漏洞
- IIS 6.0/7.0/7.5、Nginx、Apache 等 Web Service 解析漏洞总结
- iis apache nginx解析漏洞
- IIS 6.0/7.0/7.5、Nginx、Apache 等服务器解析漏洞总结
- IIS Nginx Apache解析漏洞
- Apache 漏洞之后缀名解析漏洞
- 利用最新Apache解析漏洞(CVE-2017-15715)绕过上传黑名单
- Apache Httpd 2.2 配置全解析(CentOS6)