apache文件后缀名解析

最新推荐文章于 2025-01-05 17:13:52 发布
最新推荐文章于 2025-01-05 17:13:52 发布
阅读量8.5k 收藏
点赞数 2
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mgxcool/article/details/73028488
版权

apache对文件后缀名的识别是从后向前进行匹配的,以单个.作为分隔符。当遇到未知的文件后缀名时,会继续向前匹配,直到遇到可以识别的后缀名为止。

如:

根目录下有一个abc.php.xa.cd.gf文件,当通过浏览器请求这个文件时,因为第一个后缀名.gf是无法识别的,apache会继续处理.cd,同样无法识别,直到最后识别出.php,那么最后这个文件将被作为php文件解析并执行。


apache的这个特性,可以被用来绕过一些上传文件的检测。如果一个文件上传的页面,通过黑名单的方式禁止上传php文件,那么我们就可以将文件名修改为test.php.abcd的方式进行上传。最后请求test.php.abcd时,和请求test.php的效果是一样的,这样就成功绕过了文件后缀名的检测上传了一个php文件。


apache的这个属性,定义可以识别的后缀名,可以通过修改conf/mime.types文件来实现。

11-3 Apache多后缀解析漏洞分析
weixin_43263566的博客
11-24 1722
该漏洞与用户的配置有密切的关系,严格来说属于用户配置问题。Apache文件解析漏洞涉及到 Apache 解析文件的特性。在默认情况下,Apache 允许一个文件具有多个以点分割的后缀,在处理文件时会从右向左识别后缀。(就是右边的后缀无法识别,则继续识别左边的)如果运维人员给具有 .php 后缀的文件添加了处理程序 AddHandler application/x-httpd-php .php,那么在文件具有多个后缀的情况下,只要文件含有 .php 后缀,该文件就会被识别为 PHP 文件并进行解析
3. Apache httpd 安全加固之多后缀解析漏洞
薛定谔嘚喵博客
03-31 751
Apache httpd 安全加固之多后缀解析漏洞 漏洞原理:在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白单的解析漏洞。
apache服务器解析不同的缀如.phtml、.php3、.txt等
qq_39993791的博客
12-09 1796
完成apache服务器能够使用php解析.phtml .php3 步骤:首先创建一个后缀为.phtml .php3的文件里面内容可以输出显示,列如: 修改apache的配置文件httpd.conf 在httpd.conf设置配置文件,添加一个解析相当于可以运行后缀为.phtml与 .php3的功能,也可以说是修改环境变量,如上图, 如果由phpStu...
Apache默认解析后缀
m0_49025459的博客
04-25 1651
Apache Httpd支持一个文件拥有多个后缀,不同的后缀执行不同的命令,也就是说当我们上传的文件中只要后缀含有php,该文件就可以被解析成php文件,利用Apache httpd这个特性,就可以绕过上传文件的白单。该漏洞和apache版本和php版本无关,属于用户配置不当造成的解析漏洞。Apache文件后缀的识别是从后向前进行匹配的,以单个.作为分隔符。当遇到未知的文件后缀时,会继续向前匹配,直到遇到可以识别的后缀为止。apache配置文件,禁止.php.这样的文件执行,配置文件里面加入。
php之——如何使apache服务器能够解析.phtml和.php3后缀的文件
wsnbbz的博客
12-09 2874
1.找到apache的配置文件D:\phpstudy\PHPTutorial\Apache\conf\httpd.conf 2.打开找到<IfModule mime_module>的最后一行,取消注释,加入phtml .php3 3.新建后缀为phtml或.php3的php文件就可使用apache识别 ...
Apache httpd 后缀解析
YouthBelief的博客
11-05 823
Apache httpd 后缀解析Apache httpd 后缀解析0x01 漏洞描述0x02 影响范围0x03 漏洞复现0x04 漏洞修复 Apache httpd 后缀解析 0x01 漏洞描述 Apache HTTPD 支持一个文件拥有多个后缀,并为不同后缀执行不同的指令。 那么,在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白单的解析漏洞。 0x02 影响范围 该漏洞和apache版本和php版本无关,属于
apache能够解析的后缀php5,Apache后缀解析漏洞分析和防御方法
weixin_36090805的博客
03-10 795
我们都知道windows2003 + IIS6.0下,如果目录结构中有xxx.asp这样的目录,那么所有这个目录下的文件不管扩展为什么,都会当作asp来解析。我们一般称这个漏洞为windows2003+iis6.0目录解析漏洞。但是大家可能不知道的是,apache服务器也存在类似的解析漏洞。我们来做下实验,我在本地搭建好了一个apache+php的测试平台:两个文件phpinfo.php php...
【linux】 apache多后缀文件解析漏洞复现
2401_83817843的博客
04-19 841
由于管理员的错误配置, AddHandler application/x-httpd-php .php,在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。Apache Httpd支持一个文件拥有多个后缀,不同的后缀执行不同的命令,也就是说当我们上传的文件中只要后缀含有php,该文件就可以被解析成php文件,利用Apache httpd这个特性,就可以绕过上传文件的白单。还是可以解析,证明不管php是不是在最后面,哪怕在中间,也能被解析
Apache后缀解析漏洞分析和防御方法
09-15
Apache后缀解析漏洞是一种潜在的安全威胁,能够被攻击者利用来上传恶意文件至服务器。通过理解漏洞原理和采取适当的防御措施,可以有效地降低被攻击的风险。维护良好的配置习惯以及及时更新补丁是保障Web服务器...
Apache HTTPD 多后缀解析漏洞
最新发布
weixin_45534587的博客
01-05 797
Apache HTTPD 支持一个文件拥有多个后缀,并为不同后缀执行不同的指令。以上就是Apache多后缀的特性。如果运维人员给.php那么,在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白单的解析漏洞。
Apache 漏洞之后缀解析漏洞
04-28 1万+
我们都知道windows2003 + IIS6.0下,如果目录结构中有xxx.asp这样的目录,那么所有这个目录下的文件不管扩展为什么,都会当作asp来解析。我们一般称这个漏洞为windows2003+iis6.0目录解析漏洞。但是大家可能不知道的是,apache服务器也存在类似的解析漏洞我们来做下实验,我在本地搭建好了一个apache+php的测试平台两个文件phpinfo.php  ph
apache 修改网页后缀
梦里花
11-19 2520
apache可以将网页修改成任意形式的后缀。以将php的后缀修改成asp后缀为例:在http.conf文件中添加如下代码:AddType application/x-httpd-php .asp如此apache就会以php来运行该文件。
Apache多后缀解析漏洞
m0_65150886的博客
12-29 480
如果运维人员给.php后缀的文件添加了处理程序 `AddHandler application/x-httpd-php .php` 那么在有多个后缀的情况下,只要文件含有.php后缀那么该文件就会被识别为PHP文件进行解析。、在配置文件中添加如下内容,匹配样式为 .php. 的文件并拒绝访问(该漏洞环境配置文件位于漏洞环境目录的 conf/docker-php.conf 生产环境中按照具体情况而定)该漏洞和apache版本和php版本无关,属于用户配置不当造成的解析漏洞。1.访问ip:port。
Apache 后缀解析漏洞
guishengyx的博客
10-19 476
vulfocus靶场
apache能够解析的后缀php5,Apache多后缀解析漏洞
weixin_33561009的博客
03-10 1159
造成原因Apache HTTPD 支持一个文件拥有多个后缀,并为不同后缀执行不同的指令。如果Apache配置文件(Apache\conf\httpd.conf)中存在以下代码:AddHandler application/x-httpd-php .php那么,当文件的后缀中存在 .php时该文件就会被解析为php文件。例如,photo.php.jpg就会被解析为php文件。从而,我们可以利用apa...
(转)Apache文件后缀解析的分析利用
weixin_30747253的博客
05-22 417
现在的网站越来越多的采用了PHP作为其主要的脚本来构造网页,一来因为PHP功能强大且容易使用;再者则为其后台支持用到的是Apache作为服务器,而Apache是免费的,也许正是因为这样那样的原因,现在的PHP也越来越流行。另外一个方面是大家普遍认为PHP比起ASP要安全的多,很多人提到IIS就摇头,甚至有人毫不夸张的说一台没有人工配置的IIS服务器可以不花10分钟就能进入,这个方面比起Apache...
linux deb系 apache 配置解析php文件
热门推荐
Hello_wshuo
08-26 1万+
首先安装apache服务器 sudo apt-get install apache 哪个版本都可以 系统默认会选择最新版本安装
文件解析漏洞总结-Apache
1stPeak's Blog
03-25 2480
Apache解析漏洞 多后缀解析:xx.php.xxoo Apache认为一个文件可以有多个后缀,例如:peak.txt.jpg.xx Apache解析规则是从后(右)往前(左)依次判断后缀,当Apache不认这个后缀时,就继续往前判断后缀,如果遇到认识的后缀,就将这整个文件当做认识的这个后缀解析,如若,从右往左都没有认识的,apache就会把这整个文件直接交给浏览器自动处理,不...
提权-(瞎学习)
qq_53142368的博客
10-17 710
提权
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值