2018Web攻防训练营Apache文件解析漏洞www.itjc8.com1.Apache环境搭建2.Apache解析漏洞介绍3.解析漏洞利用演示4.利用场景介绍课程内容www.itjc8.com01Apache环境搭建www.itjc8.comApache环境搭建Apache和php采用module的方式结合。www.itjc8.com02Apache解析漏洞介绍www.itjc8.comApache解析漏洞介绍因为Apache认为一个文件可以拥有多个扩展名,哪怕没有文件名,也可以拥有多个扩展名。Apache认为应该从右到左开始判断解析方法的。如果最右侧的扩展名为不可识别的,就继续往左判断,直到判断到文件名为止。官方解释:http://httpd.apache.org/docs/current/mod/directive-dict.htmlwww.itjc8.com03解析漏洞利用演示www.itjc8.com解析漏洞利用演示在站点目录下新建一个1.php.xxxx文件,xxxx文件后缀名为无法识别的后缀名。其中内容为phpinfo();www.itjc8.com04利用场景介绍www.itjc8.com利用场景介绍在Web程序中存在文件上传,但是有黑名单验证时,利用该解析漏洞可以上传对应的Webshell到目标服务器。上传一句话用中国菜刀连接。www.itjc8.com1.Apache环境搭建2.Apache解析漏洞介绍3.解析漏洞利用演示4.利用场景介绍总结www.itjc8.com再见欢迎关注Web安全训练营课程www.itjc8.com
