3 || 4-黑名单绕过

3 || 4-黑名单绕过

实际上,一个扩展名能否当作 PHP 执行,完全取决于 Web 服务器(如 Apache、Nginx)的配置

默认情况下,Apache 只解析 .php ​。要让 .php3​、.phtml​ 等后缀也生效,需要修改配置

修改方法

第一种

在大多数Linux环境的教程里,.htaccess中的这两行常规配置是没问题的:

复制代码
AddType application/x-httpd-php .php3 .phtml
AddHandler application/x-httpd-php .php3 .phtml

这两条命令的作用,是告诉Apache把这类文件交给mod_php这个内部模块来处理。

第二种

但在你使用的Windows + phpStudy + FastCGI + NTS PHP的环境里,压根就没有mod_php模块。它的工作方式是把PHP的解析请求转给另一个程序去执行,所以上面的指令自然就没用了

php 复制代码
<FilesMatch ".+">
    SetHandler fcgid-script
    FcgidWrapper "D:/path/to/your/php-cgi.exe" .php3 .phtml
</FilesMatch>

.+:匹配目录下的所有文件名。
FcgidWrapper:指定了处理PHP的php-cgi.exe程序的绝对路径,以及哪些后缀需要使用这个规则。
你需要在phpStudy里找到你当前正在用的那个PHP版本的目录,然后把路径替换成你自己的。
------------------------------------------------------------------------------------
<FilesMatch "\.(php3|phtml)$">
    SetHandler fcgid-script
    FcgidWrapper "D:/path/to/your/php-cgi.exe"
</FilesMatch>
AddType application/x-httpd-php-source .php3 .phtml

这种方法只针对.php3和.phtml文件生效,更为精准,并附带类型声明。
将FcgidWrapper后面引号里的路径,换成刚才找到的php-cgi.exe的绝对路径。保存.htaccess文件后,无需重启Apache,配置就会立刻生效。

php 复制代码
[
  "php",
  "php3",
  "php4",
  "php5",
  "phtml",
  "php6",
  "php7",
  "phpt",
  "phtm",
  "inc",
  "class",
  "module",
  "php.jpg",
  "php.png",
  "php.gif",
  "php:1.jpg",
  "php.;jpg",
  "php::$data",
  "php%0a.jpg",
  "php/.",
  "Php",
  "pHp",
  "pHP",
  "Phtml"
]

相关推荐
白帽小阳8 小时前
[特殊字符]【2026最新】零基础入门学网络安全(详细路线图),看这篇就够了!
学习·安全·web安全·网络安全·安全运营·学习路线·web渗透
HackTwoHub14 小时前
AI大模型攻击思路,涵盖提示词劫持、知识库投毒、多语种混淆 + 身份伪装、诱导 AI 输出涉密后台核心配置
人工智能·安全·web安全·网络安全·自动化·系统安全·安全架构
Eastmount14 小时前
[论文阅读] (51)ESWA25 基于启发式优化器的入侵检测系统
论文阅读·网络安全·sci·入侵检测·eswa
白帽小阳15 小时前
Typora插件开发指南:打造专属IDE式写作环境
c语言·网络·python·网络安全·github·pygame·护网行动
Sagittarius_A*15 小时前
Web 渗透信息收集实战:站点指纹识别与目录扫描
网络安全·渗透测试·kali
m0_738120721 天前
PHP代码审计基础——超全局变量(三)
开发语言·安全·网络安全·php
其实防守也摸鱼2 天前
运维--怎么看接口的请求和返回
运维·学习·网络安全·网络攻击模型·burpsuite·攻防对抗·蓝队
菩提小狗2 天前
每日安全情报报告 · 2026-07-09
网络安全·漏洞·cve·安全情报·每日安全
数据知道3 天前
DNS 安全攻防:缓存投毒、DNS 隧道与检测实战
安全·网络安全·缓存·缓存投毒
其实防守也摸鱼3 天前
蓝队相关知识学习(1)---常用堡垒机和服务器
服务器·功能测试·学习·网络安全·网络攻击模型·攻防对抗·蓝队