CVE-2017-15715

The-Back-Zoom2023-07-23 23:16

CVE-2017-15715

一、环境搭建

如下介绍kali搭建的教程

bash 复制代码 
cd ~/vulhub/httpd/CVE-2017-15715  // 进入指定环境
docker-compose build     // 进行环境编译
docker-compose up -d     // 启动环境

docker-compose ps使用这条命令查看当前正在运行的环境


访问http://your-ip:8080

二、漏洞原理

Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

三、漏洞复现

  1. 上传一个名为index.php的文件,被拦截:
  2. 在index.php加个+符号,然后再用hex模式把2b改为0a不再拦截:

  1. 访问http://your-ip:8080/index.php%0a

  2. 使用docker-compose stop停掉环境

相关推荐
lengjingzju21 小时前
一网打尽Linux IPC(三):System V IPC
linux·服务器·c语言
JIngJaneIL21 小时前
基于springboot + vue房屋租赁管理系统(源码+数据库+文档)
java·开发语言·前端·数据库·vue.js·spring boot·后端
期待のcode1 天前
Java的抽象类和接口
java·开发语言
wadesir1 天前
Go语言中高效读取数据(详解io包的ReadAll函数用法)
开发语言·后端·golang
小高不明1 天前
前缀和一维/二维-复习篇
开发语言·算法
龘龍龙1 天前
Python基础(八)
开发语言·python
SoveTingღ1 天前
【问题解析】我的客户端与服务器交互无响应了?
服务器·c++·qt·tcp
zhougl9961 天前
Vuex 模块命名冲突:问题解析与完整解决方案
linux·服务器·apache
幺零九零零1 天前
Golang-Swagger
开发语言·后端·golang
爱丽_1 天前
MyBatis动态SQL完全指南
服务器·sql·mybatis
热门推荐
01GitHub 镜像站点02从快手“12·22”直播攻击事件看:一次教科书式的业务层饱和攻击03Claude Code Skills 实用使用手册04Linux下V2Ray安装配置指南05jdk21下载、安装(Windows、Linux、macOS)06UV安装并设置国内源07电脑检测软件—图吧工具箱082025 最新教程:注册并切换到美区 Apple ID09Google Antigravity Agent 编辑器操作教程10【踩坑笔记】50系显卡适配的 PyTorch 安装