vulhub:Apache解析漏洞CVE-2017-15715

燕雀安知鸿鹄之志哉.2024-08-02 8:20

Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个换行解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

复制代码 
#启动靶机
cd /Vulnhub/vulhub-master/httpd/CVE-2017-15715
docker-compose build
docker-compose up -d
docker ps -a

#访问地址
http://192.168.109.133:8080/
  1. 尝试上传一句话木马文件,发现被拦截
  1. 在 evil.php 文件后面添加空格, 0x20 改为 0x0a 再次发送即可上传成功

  1. evil文件在后面加上 %0a ,再访问发现解析了其中的PHP代码,但后缀不是php说明存在解析漏洞

    http://192.168.109.133:8080/evil.php

蚁剑连接,连接成功

相关推荐
qq_2430507923 分钟前
sipsak:SIP瑞士军刀!全参数详细教程!Kali Linux教程!
linux·web安全·网络安全·黑客·教程·kali linux·voip工具
汇能感知35 分钟前
光谱相机叶绿素荧光成像技术的原理
经验分享·笔记·科技
游戏开发爱好者81 小时前
iOS App上线前的安全防线:项目后期如何用Ipa Guard与其他工具完成高效混淆部署
websocket·网络协议·tcp/ip·http·网络安全·https·udp
知之则吱吱2 小时前
亚马逊云服务器(AWS)会限制用户使用吗?深度解读AWS资源政策
服务器·经验分享
星哥说事2 小时前
开源综合性网络安全检测和运维工具-TscanClient
运维·web安全·开源
电院工程师3 小时前
SM3算法Python实现(无第三方库)
开发语言·python·算法·安全·密码学
A达峰绮3 小时前
AI时代的行业重构:机遇、挑战与生存法则
大数据·人工智能·经验分享·ai·推荐算法
熙客3 小时前
网络安全:OWASP防护守则
安全·web安全
炎码工坊3 小时前
DevSecOps实践:用Terraform策略检查筑牢基础设施安全防线
网络安全·微服务·云原生·系统安全·安全架构
藥瓿锻4 小时前
2024 CKS题库+详尽解析| 1. kube-bench 修复不安全项
运维·安全·docker·云原生·容器·kubernetes·cks
热门推荐
01Coze扣子平台完整体验和实践(附国内和国际版对比)02【图像处理与机器视觉】XJTU期末考点03KGG转MP3工具|非KGM文件|解密音频04从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑05海康Visionmaster-常见问题排查方法-启动阶段06YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】072024五一数学建模B题思路代码与论文分析08DeepSeek各版本说明与优缺点分析09【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!10扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解