漏洞背景: apache通过mod_php来运行脚本,其2.4.0-2.4.29中存在apache换行解析漏洞,在解析php时xxx.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。 该漏洞属于用户配置不当产生的漏洞,与具体中间件版本无关。与其说这是漏洞,不如说是apache的特性,就是我们平常所说的从右向左解析是一样的。当apache遇到无法识别解析的文件后缀时,会向前解析,如xxx.php.123.456,在mime.types文件中如果不存在.123/.456这两种后缀,那么apache会将该文件解析为php。同样也可以在httpd.conf文件中更改参数或是直接配置.htaccess。 直接上传个php一句话木马后缀名为1.php.jgp,然后用蚁剑连接,就可以了。 这就连接上了
apache httpd 解析漏洞
原创小武w ©著作权
文章标签 apache httpd 解析漏洞 文章分类 网络安全
-
5-Docker实例-安装httpd
5-Docker实例-安装httpd
centos apache docker -
Apache Doris 聚合函数源码阅读与解析|源码解读系列
Apache Doris Active Contributor 隐形通过本文记录下对源码的理解,以方便新人快速上手源码开发。
Apache Doris 数据库 大数据 数据分析 数据仓库 -
Apache httpd 详解
apache httpd 详解
apache httpd