复现Apache HTTPD 多后缀解析漏洞

准备一个纯净的Ubuntu系统

1.先更新一下安装列表

sudo apt-get update

2.安装dockers.io

sudo apt install docker.io

查看是否安装成功

docker -v

3. 查看是否安装pip,没有的话就安装

sudo apt-get install python3-pip

4. 安装docker-compose

pip install docker-compose

查看是否安装成功

docker-compose -v

5. 下载靶场文件导入Ubuntu

git clone GitHub - vulhub/vulhub: Pre-Built Vulnerable Environments Based on Docker-Compose

针对某个漏洞进行docker启用并复现

访问:Vulhub - Docker-Compose file for vulnerability environment 找到要复现的漏洞,找到进入路径

找到路径后,从Ubuntu进入到所在路径

6. 启动docker(自动构建漏洞环境)

docker-compose up -d

在主机访问Ubuntu的IP,打开靶机环境

要求是上传一个文件,文件名: xxx.php.jepg 上传以后,**该文件被当成php文件执行,**而不是作为jepg图片

那我们就新建一个txt文件,输入 <?php phpinfo();?> 保存名为1.php.jepg

7. 在靶机环境上传文件

1) 打开刚才的环境,上传文件

2)上传成功后,复制红框的路径,和环境IP拼接

3)拼接后访问访问http://192.168.138.129/uploadfiles/1.php.jpeg

成功!!!

相关推荐
boonya5 小时前
Apache Doris 入门与技术替代方案
apache·doris
一休哥助手6 小时前
Apache Flink:流处理革命的领导者与新一代大数据计算引擎
大数据·flink·apache
SelectDB技术团队7 小时前
岚图汽车 x Apache Doris : 海量车联网数据实时分析实践
数据仓库·人工智能·数据分析·汽车·apache
义薄云天us10 小时前
Apache NuttX 入门指南
apache·rtos·nuttx
从零开始学习人工智能1 天前
Apache Superset 企业级实战:从部署到优化的全链路指南
apache
new_daimond1 天前
Apache Shiro 技术详解
java·apache
半梦半醒*1 天前
keepalived部署
运维·服务器·nginx·架构·centos·apache
从零开始学习人工智能1 天前
Apache Airflow:让复杂工作流自动化变得简单优雅
运维·自动化·apache
FreeBuf_1 天前
Apache Airflow漏洞致敏感信息泄露:只读用户可获取机密数据
apache