Apache HTTPD 多后缀解析漏洞 - 润新知

Apache HTTPD 多后缀解析漏洞
1.简介

Apache Httpd支持一个文件拥有多个后缀,不同的后缀执行不同的命令,也就是说当我们上传的文件中只要后缀名含有php,该文件就可以被解析成php文件

2.复现环境

BUUCTF（https://buuoj.cn/challenges）
REAL部分（环境是基于vulhub的）

3.原理

这个原理和IIS6文件畸形解析漏洞有点类似

4.上传文件

用burpsuite截获数据包，修改一下

再访问文件地址

可以看到被解析了

5.防御手段
```
1、使用SetHandler,写好正则

<FileMatch ".+.php$">
SetHandler application/x-httpd-php
</FileMatch>
2、禁止.php这样的文件执行

<FileMatch ".+.ph(p[3457]?|t|tml).">
Require all denied
</FileMatch>
```
参考文献
https://www.cnblogs.com/yuzly/p/11226377.html
相关阅读:
结对项目进度1
学期总结之数学建模软件——LINGO和R
四则运算计算程序(完成)
学期总结之数学建模软件——编译原理
 图形学算法之NichollLeeNicholl算法
 学期总结之3D游戏开发
 《构建之法》读后感
 四则运算计算程序(初步)
结对项目进度2
Spring IOC原理解析
原文地址：https://www.cnblogs.com/mke2fs/p/12719583.html

Copyright © 2020-2023 润新知