apache不能解析php文件_解析漏洞
1.什么是解析漏洞
解析漏洞主要说的是一些特殊文件被IIS、Apache、Nginx在某种情况下被解释成脚本文件格式的漏洞。
2.IIS 5.X/6.0解析漏洞
①.目录解析
/xx.asp/xx.jpg
在网站下建立文件夹的名为为.asp、.asa的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行
例如创建目录N0Sec.asp,那么/N0Sec.asp/1.jpg将会被当作asp文件来执行。
如果黑客可以控制上传文件夹路径,就可以不管上传后的图片改不改名都能拿到Shell了。
②.文件解析
Xxx.asp;.jpg
在IIS6.0下,分号后面的不被解析,也就是说xxx.asp;.jpg会被服务器解析为xxx.asp
IIS 6.0默认可执行文件除了ASP还包括.asa、.cer、.cdx
3.Apache解析漏洞
Apache是从右至左开始判断解析,如果为不可识别解析,就再往左进行判断。
例如:xxx.php.oef.rar中.oef和.rar这两种后缀不是Apache可以识别的解析,Apache就会将xxx.php.oef.rar解析为xxx.php
如何判断是不是合法后缀就是这个漏洞利用的关键,测试时可以尝试上传一个xxx.php.oef.rar去测试是否为合法后缀(可以尝试将你知道的后缀都写上),任意不识别的后缀,会逐级向上识别
4.IIS 7.0/IIS 7.5/Nginx < 8.03急性解析漏洞
在默认Fast-CGI开启状况下,黑客上传一个名字为xxx.jpg的文件,内容为<?PHP fputs(fopen(‘shell.php’,’w’),<?php eval($_POST[cmd])?>’); ?>的文件,然后访问xxx.jpg/.php,在这个目录下就会生成一个一句话木马shell.php,www.xxx.com/logo.gif/*.php出发漏洞,如果存在漏洞,就会将前面的文件当作php执行。
5.htaccess文件解析
如果在Apache中.htaccess可被执行,且可被上传。那么可以尝试在.htaccess中写入
<FileMatch “shell.jpg”>
SetHandler application/x-httpd-php
</FileMatch>
然后再上传shell.jpg木马,这样shell.jpg就可以解析为php文件了
apache不能解析php文件_解析漏洞相关推荐
- java dom xml 换行,dom4j解析xml文件_用DOM解析XML文件,怎么才能让解析出来的文本不用换行_dom解析xml文件...
网友求助:dom4j解析xml文件_用DOM解析XML文件,怎么才能让解析出来的文本不用换行_dom解析xml文件 问题importjava.text.SimpleDateFormat; import ...
- apache不能解析php文件_Web中间件漏洞之Apache篇
Apache简介 Apache 是世界使用排名第一的 Web 服务器软件. 它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的 Web 服务器端软件之一. 它快速. ...
- java解析dxf文件_浅析JVM方法解析、创建和链接
一:前言 上周末写了一篇文章<你知道Java类是如何被加载的吗?>,分析了HotSpot是如何加载Java类的,干脆趁热打铁,本周末再来分析下Hotspot又是如何解析.创建和链接类方法的 ...
- python 解析pb文件_利用Python解析json文件
写在前面 在金融风控领域,我们经常会使用到json格式的数据,例如运营商数据.第三方数据等.而这些数据往往不能直接作为结构化数据进行分析和建模.本文将介绍一种简单的.可复用性高的基于pandas的方法 ...
- c++ 3d 解析wrl文件_单晶解析的第一步
单晶解析需要两个文件,即衍射文件(hkl file)和指令文件(ins file),关于这俩个文件的简介可以去看之前的两篇推文:<晶体解析与精修-衍射数据文件(hkl)>和<晶体解析 ...
- Java 解析CSV文件 CSV解析
需求背景 从一个数据库导出一个表的数据,导出文件为CSV文件:需要将数据导入到本地开发环境的数据库里面.CSV文件已经有了,需要解析读CSV文件,并导入进数据库.本文主要研究第一部分,自己写代码解析C ...
- python解析mht文件_php解析mht文件转换成html的方法
本篇文章主要介绍php解析mht文件转换成html的方法,感兴趣的朋友参考下,希望对大家有所帮助. php解析mht文件,使用编辑器打开可以看到base64编码所以,mht是可以转换成html的. / ...
- python解析mht文件_php解析mht文件转换成html的实例详解
下面小编就为大家带来一篇php解析mht文件转换成html的实例.小编觉得挺不错的,现在就分享给大家,也给大家做个参考.一起跟随小编过来看看吧 php解析mht文件,使用编辑器打开可以看到base64 ...
- java xsd 解析 xml文件_xsd解析xml
下面讲述根据xml生成对应序列化反序列化类的过程,xml需要首先转化为xsd,然后再生成为实体类.其中,XSD是XML Schema Definition的缩写. 1.拥有一个xml文件 2.打开vs ...
- 解析XML文件——SAX解析技术
通常的文件等等都是以xml形式存储的,当我们要查看时就必须将他们解析出来.通常有nSimple API for XML(SAX) :nDocument Object Model(DOM)(不建议使用) ...
最新文章
- linux通过ftp自动上传文件到服务器,Linux系统通过FTP上传文件到云服务器
- 设计模式学习笔记--解释器模式
- 如何判断离散数组 是递增趋势_如何用切线技术判断市场趋势?
- Python之日志处理(logging模块)详解
- 如何在当前目录快速打开cmd
- 社区团购“九不得”:低价倾销、大数据“杀熟”被禁止
- datagrid底部显示水平滚动_滚动穿透问题探索
- 【论文写作】毕业论文写作的基本流程
- Typescript tsconfig
- npm-deprecate
- 云原生之K8S------Pod的基础概念
- [论文阅读] ICCV2015 Joint Fine-Tuning in Deep Neural Networks for Facial Expression Recognition
- 人人网登录并写留言板(Requests,js逆向)
- 《Microduino实战》——2.1 Microduino系列产品
- php输出setcookie,PHP函数:setcookie()
- python连接hive
- 【板栗糖GIS】GIS与CAD的区别——个人理解
- HOTMAIL.Msn升级成250M方法
- 最新冠军方案开源 | MOTRv2:YOLOX与MOTR合力打造最强多目标跟踪!(旷视上交)...
- 论文发表相关知识(找会议、看CCF评级)