【vulhub】Apache 多后缀解析漏洞(apache_parsing_vulnerability)

1.Apache 多后缀解析漏洞原理

Apache 默认一个文件可以有多个以点分割的后缀,当后边的后缀无法识别,则继续向前识别。假设请求一个 1.php.aa.fdf.fdfdfd.dff 无法识别,则向前开始识别,发现后缀是 php,交给 php 处理这个文件。最后一步交给了 php 来处理这个文件,但是 php 也不认识.aa 的后缀,不对其解析。

2.复现过程

首先进入该漏洞的文件中

使用docker开启靶场环境

查看靶场的端口开放情况

访问靶场:192.168.187.135:80

将一个jpg文件重命名为.php.jpg后缀进行上传

使用burp抓取数据包,在图片内容的最后加上phpinfo

放包后,访问该图片,php代码被执行

相关推荐
apcipot_rain24 分钟前
【数据库原理及安全实验】实验一 数据库安装与创建
数据库·安全
神秘的t26 分钟前
javaSE————网络原理
java·网络
爱上大树的小猪44 分钟前
【前端安全】模板字符串动态拼接HTML的防XSS完全指南
前端·安全·html
EasyNVR1 小时前
视频分析设备平台EasyCVR视频结构化AI智能分析:筑牢校园阳光考场远程监控网
网络·音视频
iOS技术狂热者1 小时前
Flutter 音视频播放器与弹幕系统开发实践
websocket·网络协议·tcp/ip·http·网络安全·https·udp
独行soc1 小时前
2025年渗透测试面试题总结-某腾某讯-技术安全实习生升级(题目+回答)
java·python·安全·web安全·面试·职场和发展·红蓝攻防
蝎蟹居1 小时前
GB/T 4706.1-2024 家用和类似用途电器的安全 第1部分:通用要求 与2005版差异(1)
人工智能·单片机·嵌入式硬件·物联网·安全
jinan8861 小时前
企业的移动终端安全怎么管理?
大数据·网络·安全·数据分析·开源软件
生命是有光的1 小时前
【中间件安全计划】锚定Tomcat安全基线
安全·中间件·tomcat
W说编程1 小时前
《UNIX网络编程卷1:套接字联网API》第5章 TCP客户服务器程序示例
c语言·网络·网络协议·tcp/ip·unix·tcp