CVE-2017-15715

The-Back-Zoom2023-07-23 23:16

CVE-2017-15715

一、环境搭建

如下介绍kali搭建的教程

bash 复制代码 
cd ~/vulhub/httpd/CVE-2017-15715  // 进入指定环境
docker-compose build     // 进行环境编译
docker-compose up -d     // 启动环境

docker-compose ps使用这条命令查看当前正在运行的环境


访问http://your-ip:8080

二、漏洞原理

Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

三、漏洞复现

  1. 上传一个名为index.php的文件,被拦截:
  2. 在index.php加个+符号,然后再用hex模式把2b改为0a不再拦截:

  1. 访问http://your-ip:8080/index.php%0a

  2. 使用docker-compose stop停掉环境

相关推荐
monstercl7 分钟前
游戏资源传输服务器
运维·服务器·游戏
Bl_a_ck19 分钟前
--openssl-legacy-provider is not allowed in NODE_OPTIONS 报错的处理方式
开发语言·前端·web安全·网络安全·前端框架·ssl
网硕互联的小客服21 分钟前
服务器配置错误导致SSL/TLS出现安全漏洞,如何进行排查?
运维·服务器
GreatNXY1 小时前
【阿里云】阿里云 Ubuntu 服务器无法更新 systemd(Operation not permitted)的解决方法
服务器·阿里云·云计算
itachi-uchiha1 小时前
Linux上的rm和srm 命令
linux·运维·服务器
Auc241 小时前
OJ判题系统第6期之判题逻辑开发——设计思路、实现步骤、代码实现(策略模式)
java·开发语言·docker·容器·策略模式
向日葵xyz1 小时前
Qt5与现代OpenGL学习(十一)OpenGL Widget鼠标控制直线旋转
开发语言·qt·学习
智慧地球(AI·Earth)1 小时前
OpenAI for Countries:全球AI基础设施的“技术基建革命”
开发语言·人工智能·php
不学无术の码农1 小时前
《Effective Python》第1章 Pythonic 思维总结——编写优雅、高效的 Python 代码
开发语言·python
双叶8362 小时前
(C语言)超市管理系统(测试版)(指针)(数据结构)(二进制文件读写)
c语言·开发语言·数据结构·c++
热门推荐
01YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03KGG转MP3工具|非KGM文件|解密音频04YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU05【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!06Coze扣子平台完整体验和实践(附国内和国际版对比)07组基轨迹建模 GBTM的介绍与实现(Stata 或 R)08yolov8,yolo11,yolo12 服务器训练到部署全流程 笔记09DeepSeek各版本说明与优缺点分析10【解决】Android Gradle Sync 报错 Could not read workspace metadata