杂项复现-中间件

一、Apache HTTPD 多后缀解析漏洞

一、Apache HTTPD 多后缀解析漏洞

在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白名单的解析漏洞。

1、上传一个含有后门的代码

2、将文件名1.php改成1.php.jpg,成功上传

3、访问上传的文件,成功执行phpinfo()


总结:

1、需要中间件是apache,附带PHP 7.3环境

2、文件命名是需要基于本地命名(如果后端重新命名则无法实现1.php.jpg)

相关推荐
虹科数字化与AR13 分钟前
安宝特应用 | 美国OSHA扩展Vuzix AR眼镜应用,强化劳动安全与效率
安全·ar·远程协助
Hacker_Fuchen32 分钟前
天融信网络架构安全实践
网络·安全·架构
炫彩@之星34 分钟前
Windows和Linux安全配置和加固
linux·windows·安全·系统安全配置和加固
独行soc8 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍06-基于子查询的SQL注入(Subquery-Based SQL Injection)
数据库·sql·安全·web安全·漏洞挖掘·hw
独行soc10 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍08-基于时间延迟的SQL注入(Time-Based SQL Injection)
数据库·sql·安全·渗透测试·漏洞挖掘
Clockwiseee11 小时前
php伪协议
windows·安全·web安全·网络安全
黑客Ash12 小时前
安全算法基础(一)
算法·安全
云云32112 小时前
搭建云手机平台的技术要求?
服务器·线性代数·安全·智能手机·矩阵
云云32112 小时前
云手机有哪些用途?云手机选择推荐
服务器·线性代数·安全·智能手机·矩阵
xcLeigh12 小时前
网络安全 | 防火墙的工作原理及配置指南
安全·web安全