修改.htaccess执行非php文件

最新推荐文章于 2025-07-12 05:54:21 发布
原创 最新推荐文章于 2025-07-12 05:54:21 发布 · 5.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

是个很老技术了,有一个php上传,可以控制上传的文件名,但服务器端做了过滤,文件名中不能包含php字符串,各种绕过无效。


后面就上传了一个 .htaccess文件里面只有一句


AddType application/x-httpd-php .abc


之后,把php后门改成 xx.abc上传上去就可以执行了。

ThinkPHP6.1中URL重写.htaccess更改后无效的解决方法
.
03-05 624
ThinkPHP6.1中URL重写.htaccess更改后无效的解决方法
CTF文件上传——.htaccess文件利用
weixin_52463619的博客
02-09 2258
1.概念.htaccess文件提供了针对目录改变配置的方法, 即在一个特定的文档目录中放置一个包含一条或多条指令的文件, 以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的指令来设置。.htaccess中有单行注释符, 且支持拼接上下两行。2.作用范围​.htaccess文件中的配置指令作用于.htaccess文件所在的目录及其所有子目录,注意子目录中htaccess文件中的指令会覆盖父目录或者主配置文件中的指令。
改变PHP后缀名-.htm.pp.cc.oo,任何格式
webnoties的专栏
12-09 1846
只需要在Apache目录下.conf文件中加一行代码即可。 Apache-20\conf\httpd.conf   # Make PHP code look like other code types AddType application/x-httpd-php .asp .py .pl 如上所示,把文件名改为.asp也可直接读取php文件内容。
Apache里如何将图片解析PHP
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
07-15 2956
首先,如果没有安装PHP,先安装PHP yum install -y php 然后进入网站根目录,如果不记得网站根目录,可以去配置文件里找 我的是/mnt/z 所以进入这个目录下,新建一个i.jpg文件 在浏览器里查看这个文件,存在错误 接下来新建一个名为 .htaccess文件文件里面添加以下内容 这个 i.jpg 就是上面新建的图片 <FilesMatch "i.jpg"> SetHandler application/x-httpd-php </FilesMat
CTFHUB技能树文件上传.htaccess文件
最新发布
weixin_45604830的博客
07-12 974
MIME类型:资源的“身份证”‌定义与作用‌‌MIME‌(多用途互联网邮件扩展)是一种标准,用于标识互联网传输的文件类型(如文本、图片、视频),格式为 主类型/子类型(例:image/jpeg)‌。‌核心作用‌:浏览器根据MIME类型决定如何处理资源(渲染、下载或调用插件)‌。错误类型可能导致内容显示异常或安全漏洞(如恶意脚本执行)‌缓存:加速资源访问的“中转站”‌缓存机制原理‌‌核心目标‌:减少重复请求,提升加载速度‌。
htaccess文件的使用小技巧
qq_41814777的博客
07-26 561
0x00维持权限隐藏后门 一般我们上传的木马都是脚本文件,管理员进行定期检查的时候容易发现,但是可以通过配置htaccess,让后缀为jpg、png、jpeg、gif等文件以脚本文件解析,配置如下: <FilesMatch "jpg">   SetHandler application/x-httpd-php </FilesMatch> 0x01限制对敏感文件和后台的访问 在日常网站维护中,很容易输入/login.php /login.html /admin.jsp 等目录
php解析其他php文件_PHP: 使用内置的 PHP - Manual
weixin_36125588的博客
03-08 100
You only have to uncomment:#LoadModule php5_module libexec/apache2/libphp5.soThis is gone:# AddModule mod_php5.cThe statement in 3 was changed to:## TypesConfig points to the file containing th...
妙用.htaccess隐藏网页文件扩展名
09-30
在本案例中,我们将讨论如何利用`.htaccess`隐藏PHP文件的扩展名。 首先,`.htaccess`(分布式配置文件)是Apache服务器中的一个配置文件,它允许我们在不修改服务器主配置的情况下,针对特定目录定制HTTP行为。这...
让IIS支持Apache .htaccess 伪静态规则
06-09
通过以上步骤,IIS现在应该能够理解和执行与Apache .htaccess文件类似的URL重写规则。这使得在不改变原有规则的情况下,能够在IIS环境中顺利运行原本在Apache上构建的网站。 总之,让IIS支持Apache的.htaccess...
laravel 修改.htaccess文件 重定向public的解决方法
10-16
这种做法可以隐藏应用的实际执行文件,保护源代码不被轻易访问,同时利用 .htaccess 文件强大的 URL 重写功能来处理复杂的路由情况。但更改 .htaccess 文件时需要格外小心,因为错误的配置可能会导致应用无法访问或...
nginx支持.htaccess文件实现伪静态的方法分享
09-10
在本文中,我们将深入探讨如何在Nginx服务器上使用`.htaccess`文件来实现伪静态,这是一个常见的需求,特别是对于那些从Apache迁移到Nginx的网站管理员。首先,我们要澄清一个误解:Nginx确实支持`.htaccess`文件...
警惕htaccess文件上传解析漏洞
whatiwhere的博客
11-24 9671
实验环境 操作机: Windows XP 目标机:Windows 2003 目标网址:www.test.com 实验目的 了解htaccess文件解析的利用方法 掌握如何去修复此漏洞 实验工具 中国菜刀:是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都可以用中国菜刀来进行管理,本次试验主要用到其动态脚本管理功能 实验内容 实验步骤 步骤1:...
ftp服务器文件不让上传,FTP服务器不允许我上传.htaccess文件
weixin_39801356的博客
08-06 622
我正在使用Amazon EC2服务器。设置一个Ubuntu系统和ProFTPD服务器。然后我创建一个用户上传文件。有用。FTP服务器不允许我上传.htaccess文件但我无法上传.htaccess文件。它返回以下错误:Response: 257 "/public_html" is the current directoryCommand: TYPE AResponse: 200 Type set ...
文件上传漏洞之.htaccess
不好好做安全的运维足球狗
03-12 6221
0x00 前言 .htaccess文件(“分布式配置文件”)提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。作为用户,所能使用的命令将受到限制。管理员可以通过Apache的AllowOverride指令来设置。 概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htacce...
通用htaccess将www重定向到www
eyeotec的博客
01-15 277
遇到的问题: 我想将www.example.com重定向到example.com 。 以下htaccess代码可实现此目的: RewriteCond %{HTTP_HOST} ^www.example.com [NC] RewriteRule ^(.*)$ http://example.com/$1 [L,R=301] 但是,有没有一种方法可以以通用的方式而不用对域名进行硬编码? 解决方案: 解决...
.htaccess文件上传解析漏洞
mmzkyl的博客
01-04 7827
测试环境 upload-labs靶场(Pass-04)     原理 .htaccess文件是Apache服务器下的一个配置文件
文件解析漏洞总结-Apache
热门推荐
若水斋
08-10 2万+
本文详细论述、测试了Apache的三种文件解析漏洞:多后缀名、罕见后缀和利用.htaccess
htaccess application/x-httpd-php,htaccess AddHandler *** x-httpd-php5x ***和*** application / x-httpd...
weixin_32369749的博客
03-16 309
x-httpd-php5x和application / x-httpd-php5x之间有什么区别?我已经使用application / x-httpd-php多年来使用我的网络托管(Linux),直到他们将PHP升级到版本> = 5.2.现在我必须在web主机上使用x-httpd-php5x,这在localhost(Windows)上不起作用.因此,每当我对.htaccess进行一些更改时,...
渗透.htaccess文件的使用
03-20
### 关于 `.htaccess` 文件在渗透测试中的使用 `.htaccess` 是 Apache Web 服务器的一个配置文件,主要用于目录级别的设置。它可以通过定义特定规则来改变该目录下的行为,比如重定向、权限控制以及 MIME 类型处理等。 #### 利用 `.htaccess` 实现文件解析漏洞 当目标站点启用了 `.htaccess` 的功能时,攻击者可以尝试上传自定义的 `.htaccess` 文件以实现某些恶意目的。例如: - **图片马解析PHP 脚本** 攻击者可以在 `.htaccess` 中指定规则,使得某个扩展名为 `png` 或其他静态资源类型的文件被当作 PHP 解析执行[^1]。以下是典型的 `.htaccess` 配置内容: ```apache <FilesMatch "1.png"> SetHandler application/x-httpd-php AddHandler php5-script .png </FilesMatch> ``` - **远程修改 Apache 配置** 如果能够影响到服务器上的全局或局部配置,也可以通过更改 Apache 的核心配置文件(如 `httpd.conf`),或者直接利用 `.htaccess` 添加类似的指令[^2]: ```apache AddType application/x-httpd-php .jpg ``` 此种情况下,任何带有 `.jpg` 扩展名的文件都会被解释为 PHP 并运行。 #### 如何检测和验证是否存在此类漏洞? 寻找支持文件上传的功能模块是第一步,常见的入口包括但不限于头像上传、文档管理、多媒体素材导入等功能点[^3]。一旦发现可上传任意类型文件的地方,便可通过以下方式进行试探: 1. 尝试上传普通的动态脚本文件(如 `.php`, `.asp` 等)。观察其是否功保存至服务端; 2. 若上述操作受限,则考虑上传伪装后的文件(即实际内容为脚本代码但扩展名为允许的形式,如 `.jpg`, `.png`); 3. 结合 `.htaccess` 技巧进一步提升加载能力,最终达到触发恶意逻辑的效果。 需要注意的是,在真实环境中实施这些技术前应获得相应授权以免触犯法律。 #### 工具辅助扫描与结果分析 为了提高效率,还可以借助自动化工具完初步探测工作。例如 Nikto 可用于快速识别潜在的安全隐患[^4]: ```bash nikto -host http://targetsite.com ``` 此命令会对指定的目标进行全面检查并将可疑项罗列出来供后续人工确认。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值