CVE-2017-15715

CVE-2017-15715


一、环境搭建

如下介绍kali搭建的教程

bash 复制代码
cd ~/vulhub/httpd/CVE-2017-15715  // 进入指定环境
docker-compose build     // 进行环境编译
docker-compose up -d     // 启动环境

docker-compose ps使用这条命令查看当前正在运行的环境


访问http://your-ip:8080

二、漏洞原理

Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

三、漏洞复现

  1. 上传一个名为index.php的文件,被拦截:
  2. 在index.php加个+符号,然后再用hex模式把2b改为0a不再拦截:
  1. 访问http://your-ip:8080/index.php%0a

  2. 使用docker-compose stop停掉环境

相关推荐
大圣编程6 分钟前
Java 多维数组详解
java·开发语言
殳翰3 小时前
下服务器端开发流程及相关工具介绍(C++)
开发语言·c++
恒5393 小时前
Linux文件系统I
linux·运维·服务器
阿成学长_Cain3 小时前
Linux ipcs 命令超全详解:查看共享内存 / 消息队列 / 信号量,IPC 运维必备
linux·运维·服务器·网络·数据库
落寞的星星3 小时前
这个对象就包含了已经转换好的DFA和各种词法分析器运转所需要的参数。下一步,我们就可以用ScannerInfo对象创建出Scanner对象,请看下面的代码:
开发语言·c#
nothing&nowhere4 小时前
用 Python 做问卷数据清洗:无效样本检测与处理实战
开发语言·python·数据清洗·数据处理·问卷星·问卷星脚本·刷问卷
青瓦梦滋4 小时前
协议定制/序列化-反序列化(Linux视角)
linux·服务器·网络·c++
2601_961593424 小时前
Rust 开发环境配置繁琐?RustRover 开箱即用搞定编码调试
开发语言·后端·macos·rust
HZZD_HZZD5 小时前
DL/T 645-2026新国标深度解读与智能电表协议适配实战:从帧结构变化到Java采集器升级的全链路改造方案
java·开发语言
多加点辣也没关系7 小时前
JavaScript|第4章:类型转换
开发语言·javascript