【vulhub】Apache 多后缀解析漏洞(apache_parsing_vulnerability)

1.Apache 多后缀解析漏洞原理

Apache 默认一个文件可以有多个以点分割的后缀,当后边的后缀无法识别,则继续向前识别。假设请求一个 1.php.aa.fdf.fdfdfd.dff 无法识别,则向前开始识别,发现后缀是 php,交给 php 处理这个文件。最后一步交给了 php 来处理这个文件,但是 php 也不认识.aa 的后缀,不对其解析。

2.复现过程

首先进入该漏洞的文件中

使用docker开启靶场环境

查看靶场的端口开放情况

访问靶场:192.168.187.135:80

将一个jpg文件重命名为.php.jpg后缀进行上传

使用burp抓取数据包,在图片内容的最后加上phpinfo

放包后,访问该图片,php代码被执行

相关推荐
liulilittle2 小时前
C++ TAP(基于任务的异步编程模式)
服务器·开发语言·网络·c++·分布式·任务·tap
guts°5 小时前
17-VRRP
网络·智能路由器
Jewel Q5 小时前
动态路由协议基础
网络·智能路由器
宇称不守恒4.06 小时前
2025暑期—06神经网络-常见网络2
网络·人工智能·神经网络
Dreams_l7 小时前
网络编程2(应用层协议,传输层协议)
运维·服务器·网络
数据与人工智能律师7 小时前
数字迷雾中的安全锚点:解码匿名化与假名化的法律边界与商业价值
大数据·网络·人工智能·云计算·区块链
先知后行。7 小时前
网络协议HTTP、TCP(草稿)
网络·网络协议
xzkyd outpaper7 小时前
QUIC协议如何在UDP基础上解决网络切换问题
网络·计算机网络·udp·quic
终焉暴龙王7 小时前
CTFHub web进阶 php Bypass disable_function通关攻略
开发语言·安全·web安全·php
碳酸的唐8 小时前
Inception网络架构:深度学习视觉模型的里程碑
网络·深度学习·架构