杂项复现-中间件

一、Apache HTTPD 多后缀解析漏洞

一、Apache HTTPD 多后缀解析漏洞

在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白名单的解析漏洞。

1、上传一个含有后门的代码

2、将文件名1.php改成1.php.jpg,成功上传

3、访问上传的文件,成功执行phpinfo()


总结:

1、需要中间件是apache,附带PHP 7.3环境

2、文件命名是需要基于本地命名(如果后端重新命名则无法实现1.php.jpg)

相关推荐
ACRELKY3 小时前
【黑科技护航安全】分布式光纤测温:让隐患无处可藏
科技·安全
叠叠乐3 小时前
rust Send Sync 以及对象安全和对象不安全
开发语言·安全·rust
ALe要立志成为web糕手3 小时前
SESSION_UPLOAD_PROGRESS 的利用
python·web安全·网络安全·ctf
zhu12893035564 小时前
网络安全的现状与防护措施
网络·安全·web安全
澳鹏Appen4 小时前
AI安全:构建负责任且可靠的系统
人工智能·安全
zhu12893035566 小时前
网络安全与防护策略
网络·安全·web安全
DevSecOps选型指南7 小时前
2025年企业级开源治理实践与思考
安全·开源·sca·软件供应链安全厂商
virelin_Y.lin7 小时前
系统与网络安全------Windows系统安全(1)
windows·安全·web安全·系统安全
zhu12893035568 小时前
网络安全基础与防护策略
网络·安全·web安全
EasyGBS9 小时前
NVR接入录像回放平台EasyCVR视频系统守护舌尖上的安全,打造“明厨亮灶”云监管平台
安全·音视频