Apache HTTPD 换行解析漏洞(CVE-2017-15715)

Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在 一个解析漏洞,在解析PHP时,1.php\x0a将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

影响范围

apache :2.4.0~2.4.29版本

靶场搭建

cd vulhub/httpd/CVE-2017-15715

docker-compose up -d

漏洞复现

访问

http://192.168.0.125:8080/

上传文件并抓包,并发送到repeater

给文件名加个点(.)

十六进制0a 在ascii中是lf。 lf读作"eleff",意为"换行符",

发送以后,去访问

修复建议:

1.升级到高版本

2.将上传的文件重命名为时间戳+随机数+.jpg格式并禁用上传文件目录执行脚本权限

相关推荐
ALLSectorSorft4 小时前
上门服务小程序会员系统框架设计
小程序·apache
杨过姑父6 小时前
部署开源版禅道,修改apache端口无效解决
bug·apache·软件工程·issue
酷爱码7 小时前
Spring Boot 整合 Apache Flink 的详细过程
spring boot·flink·apache
竹言笙熙8 小时前
Polarctf2025夏季赛 web java ez_check
java·学习·web安全
lubiii_10 小时前
SQL手工测试(MySQL数据库)
数据库·mysql·web安全·网络安全
恰薯条的屑海鸥12 小时前
零基础在实践中学习网络安全-皮卡丘靶场(第十四期-XXE模块)
网络·学习·安全·web安全·渗透测试
DevSecOps选型指南21 小时前
2025软件供应链安全最佳实践︱证券DevSecOps下供应链与开源治理实践
网络·安全·web安全·开源·代码审计·软件供应链安全
恰薯条的屑海鸥21 小时前
零基础在实践中学习网络安全-皮卡丘靶场(第十六期-SSRF模块)
数据库·学习·安全·web安全·渗透测试·网络安全学习
网安INF1 天前
CVE-2020-17519源码分析与漏洞复现(Flink 任意文件读取)
java·web安全·网络安全·flink·漏洞