CVE-2017-15715

The-Back-Zoom2023-07-23 23:16

CVE-2017-15715

一、环境搭建

如下介绍kali搭建的教程

bash 复制代码 
cd ~/vulhub/httpd/CVE-2017-15715  // 进入指定环境
docker-compose build     // 进行环境编译
docker-compose up -d     // 启动环境

docker-compose ps使用这条命令查看当前正在运行的环境


访问http://your-ip:8080

二、漏洞原理

Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

三、漏洞复现

  1. 上传一个名为index.php的文件,被拦截:
  2. 在index.php加个+符号,然后再用hex模式把2b改为0a不再拦截:

  1. 访问http://your-ip:8080/index.php%0a

  2. 使用docker-compose stop停掉环境

相关推荐
大树882 天前
金刚石散热越强,管路越先见顶
大数据·运维·服务器·人工智能·ai
LDR0062 天前
Type-C 快充全面升级!LDR6601 赋能个人护理便携电机,重塑剃须刀 / 理发器新体验
c语言·开发语言
雪碧聊技术2 天前
Tree.js是什么?一文讲透
开发语言·javascript·ecmascript
码云数智-园园2 天前
C++20 Modules 模块详解
java·开发语言·spring
小宇宙Zz2 天前
Maven依赖冲突
java·服务器·maven
swordbob2 天前
NIO的channel中什么是 fd(File Descriptor,文件描述符)
java·开发语言·nio
源分享2 天前
Java线程同步的多种实现方法(非常详细)
java·开发语言·jvm
Luminous.2 天前
C语言--day30
c语言·开发语言
何以解忧,唯有..2 天前
Go语言循环语句详解:for、range与循环控制
开发语言·算法·golang
謓泽2 天前
C语言不是语法,是通往机器的地图。
c语言·开发语言
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf03【AI】2026 年具身智能模型和世界模型总结04GitHub 镜像站点052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?062026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?07Codex 下载安装指南:Windows 和 macOS 官方版下载08上线仅72小时被强制下架:Claude Fable 5 的短命09AI科技热点日报 | 2026年6月1日10HTTP 与 HTTPS 的区别:从原理到实战详解