vulhub:Apache解析漏洞CVE-2017-15715

燕雀安知鸿鹄之志哉.2024-08-02 8:20

Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个换行解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

复制代码 
#启动靶机
cd /Vulnhub/vulhub-master/httpd/CVE-2017-15715
docker-compose build
docker-compose up -d
docker ps -a

#访问地址
http://192.168.109.133:8080/
  1. 尝试上传一句话木马文件,发现被拦截
  1. 在 evil.php 文件后面添加空格, 0x20 改为 0x0a 再次发送即可上传成功

  1. evil文件在后面加上 %0a ,再访问发现解析了其中的PHP代码,但后缀不是php说明存在解析漏洞

    http://192.168.109.133:8080/evil.php

蚁剑连接,连接成功

相关推荐
cipher1 天前
ERC-4626 通胀攻击:DeFi 金库的"捐款陷阱"
前端·后端·安全
一次旅行4 天前
网络安全总结
安全·web安全
red1giant_star4 天前
手把手教你用Vulhub复现ecshop collection_list-sqli漏洞(附完整POC)
安全
一个人旅程~4 天前
如何用命令行把win10/win11设置为长期暂停更新?
linux·windows·经验分享·电脑
ZeroNews内网穿透4 天前
谷歌封杀OpenClaw背后:本地部署或是出路
运维·服务器·数据库·安全
一名优秀的码农4 天前
vulhub系列-14-Os-hackNos-1(超详细)
安全·web安全·网络安全·网络攻击模型·安全威胁分析
Factory_Audit4 天前
亚马逊社会责任验厂审核标准及注意事项
大数据·经验分享
Libraeking4 天前
05 安全边界:MCP Server 的权限沙箱与敏感数据保护
安全
努力的lpp4 天前
SQLMap CTF 常用命令全集
数据库·web安全·网络安全·sql注入
江南小书生4 天前
制造业系统赋能成熟度自测表(实操版)
经验分享·非标制造
热门推荐
01GitHub 镜像站点02【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆03OpenClaw 使用和管理 MCP 完全指南04OpenClaw + 飞书(Feishu)环境搭建指南05Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services06OpenClaw优化飞书API 额度已耗尽问题07Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤08Window 10部署openclaw报错node.exe : npm error code 12809OpenClaw大龙虾机器人完整安装教程10OpenClaw 接入阿里云百炼 Coding Plan 指南