形成原因
Apache HTTPD 支持一个文件拥有多个后缀,并为不同后缀执行不同的指令
在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白名单的解析漏洞
环境搭建
漏洞复现
bp抓包 发现是白名单
上传成功
漏洞利用
apache httpd 多后缀解析漏洞
爱小刘的猪猪侠2023-10-25 20:33
相关推荐
北方的流星7 小时前
华三路由器NAT配置数据法师8 小时前
开源情报收集工具GhostTrack深度测评:IP、手机号、用户名的合规信息查询方案丑八怪大丑9 小时前
Java网络编程想成为优秀工程师的爸爸9 小时前
第三十篇技术笔记:郭大侠学UDS - 人有生老三千疾,望闻问切良方医数智工坊10 小时前
【SAM-DETR论文阅读】:基于语义对齐匹配的DETR极速收敛检测框架时空自由民.11 小时前
蓝牙协议之GAP协议灰子学技术12 小时前
Envoy HTTP Connection Manager (HCM) 技术文档byoass12 小时前
企业云盘与设计软件深度集成:AutoCAD/Revit/SolidWorks插件开发与API集成实战智慧光迅AINOPOL12 小时前
全光网设备厂家选型参考:评估要点与技术标准说明qq_三哥啊13 小时前
【mitmproxy】提取 OpenCode 的 API 接口