vulhub:Apache解析漏洞CVE-2017-15715

燕雀安知鸿鹄之志哉.2024-08-02 8:20

Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个换行解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

#启动靶机
cd /Vulnhub/vulhub-master/httpd/CVE-2017-15715
docker-compose build
docker-compose up -d
docker ps -a

#访问地址
http://192.168.109.133:8080/
  1. 尝试上传一句话木马文件,发现被拦截
  1. 在 evil.php 文件后面添加空格, 0x20 改为 0x0a 再次发送即可上传成功

  1. evil文件在后面加上 %0a ,再访问发现解析了其中的PHP代码,但后缀不是php说明存在解析漏洞

    http://192.168.109.133:8080/evil.php

蚁剑连接,连接成功

相关推荐
速盾cdn1 小时前
速盾:如何判断高防服务器的防御是否真实?
网络·安全
你怎么睡得着的!2 小时前
【web安全】——常见框架漏洞
web安全·网络安全·框架漏洞
一尘之中2 小时前
网 络 安 全
网络·人工智能·学习·安全
l1x1n03 小时前
DOS 命令学习笔记
笔记·学习·web安全
速盾cdn3 小时前
速盾:网页游戏部署高防服务器有什么优势?
服务器·前端·web安全
学步_技术4 小时前
自动驾驶系列—LDW(车道偏离预警):智能驾驶的安全守护者
人工智能·安全·自动驾驶·ldw
Peggy·Elizabeth4 小时前
APISIX 联动雷池 WAF 实现 Web 安全防护
网络安全
学思之道5 小时前
给Linux操作系统命令取个别名
linux·运维·经验分享·学习方法
鹿痴哇5 小时前
如何只修改obsidian图片链接为markdown
经验分享
s_little_monster5 小时前
【QT】QT入门
数据库·c++·经验分享·笔记·qt·学习·mfc
热门推荐
01【经验分享】Ubuntu22.04安装微信(linux官方版)02安卓系列机型永久去除data分区加密 详细步骤解析032024年高教社杯数学建模国赛C题超详细解题思路分析04【极空间NAS】使用WebDAV服务 + DDNSTO内网穿透 实现思源笔记的内外网同步05组基轨迹建模 GBTM的介绍与实现(Stata 或 R)06【2024数模国赛赛题思路公开】国赛B题思路丨附可运行代码丨无偿自提07CTF网络安全大赛简单的web抓包题目:HEADache08苍穹外卖面试总结09【2024高教社杯全国大学生数学建模竞赛】B题 生产过程中的决策问题——解题思路 代码 论文10分享几个惊艳的 Three.js 个人站点