【vulhub】Apache 多后缀解析漏洞(apache_parsing_vulnerability)

1.Apache 多后缀解析漏洞原理

Apache 默认一个文件可以有多个以点分割的后缀,当后边的后缀无法识别,则继续向前识别。假设请求一个 1.php.aa.fdf.fdfdfd.dff 无法识别,则向前开始识别,发现后缀是 php,交给 php 处理这个文件。最后一步交给了 php 来处理这个文件,但是 php 也不认识.aa 的后缀,不对其解析。

2.复现过程

首先进入该漏洞的文件中

使用docker开启靶场环境

查看靶场的端口开放情况

访问靶场:192.168.187.135:80

将一个jpg文件重命名为.php.jpg后缀进行上传

使用burp抓取数据包,在图片内容的最后加上phpinfo

放包后,访问该图片,php代码被执行

相关推荐
创小匠4 分钟前
创客匠人解析创始人 IP 定位:从专业度到用户心智的占领之道
网络·网络协议·tcp/ip
unable code21 分钟前
攻防世界-Reverse-insanity
网络安全·ctf·reverse
亚里士多没有德77524 分钟前
【CTF-Web环境搭建】kali
网络安全
小赖同学啊31 分钟前
基于区块链的物联网(IoT)安全通信与数据共享的典型实例
物联网·安全·区块链
车载测试工程师1 小时前
车载以太网网络测试-29【SOME/IP-SD】-SD状态机
网络·网络协议·tcp/ip·车载系统·php
高兴达1 小时前
RPC--自定义注解注册发布服务
网络·网络协议·rpc
lang201509282 小时前
Reactor ConnectableFlux支持多订阅者
java·网络
在下Z.2 小时前
利用TCP协议,创建一个多人聊天室
网络·网络协议·tcp/ip
pipip.4 小时前
UDP————套接字socket
linux·网络·c++·网络协议·udp
Félix2514 小时前
计算机网络笔记(不全)
网络·计算机网络