刚看到的apache的漏洞,可怕呀!!!

最新推荐文章于 2025-07-18 18:54:50 发布
最新推荐文章于 2025-07-18 18:54:50 发布
阅读量2.2k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: php 服务器 文章标签: php apache 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/skfzc/article/details/48340667
本文揭示了一个Apache漏洞,通过上传特定格式的文件可以被当作.php来执行,展示了一个简单的绕过方法并提供了防止措施。包括在.htaccess中临时禁止特定文件类型,以及使用RewriteRule进行额外保护。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

      应该是我孤陋了,刚看到了一个apache的漏洞,上传一个***.php.***的文件,可以被当作.php来执行,可以试一下,写入:<?php echo "hello";?>,存成123.php.rar,然后在地址栏输入文件名,显示出来的真的是“hello”,我晕!木马文件轻而易举的就伪装了,太可怕了!

      对上传的文件做检查吧,还有个比较偷懒的方法,就是在.htaccess里临时禁止一下吧,在.htaccess里写入:
    <FilesMatch "\.php\.">
      order deny,allow
      deny from all
    </FilesMatch>

我又加了一句:RewriteRule ^(\w+).php.(\w+)$ index.php,双保险应该没事了吧!

[漏洞挖掘与防护] 01.漏洞利用之CVE-2019-0708复现及防御详解(含学习路线)
杨秀璋的专栏
07-10 1520
这是作者新开的一个专栏——“漏洞挖掘与防护”。第一篇文章将详细介绍Windows远程桌面服务漏洞(CVE-2019-0708),该高危漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击,堪比WannaCry。希望对入门的同学有帮助。您的点赞、评论、收藏将是对我最大的支持,感恩安全路上一路前行,如果有写得不好的地方,可以联系我修改。基础性文章,希望对您有所帮助!
[系统安全] 八.Windows漏洞利用之CVE-2019-0708复现及防御详解
杨秀璋的专栏
12-27 1万+
娜璋AI安全之家于2020年8月18日开通,将专注于Python和安全技术,主要分享Web渗透、系统安全、CVE复现、威胁情报分析、人工智能、大数据分析、恶意代码检测等文章。真心想把自己近十年的所学所做所感分享出来,与大家一起进步。 系统安全系列作者将深入研究恶意样本分析、逆向分析、漏洞利用、攻防实战等,通过在线笔记和实践操作的形式分享与博友们学习。前文通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程。这篇文章将详细介绍Windows远程桌面服务漏洞(CVE-2019-0708),
【文件上传漏洞-02】利用PUT方法上传文件—以Apache为例
m0_64378913的博客
05-31 8049
目录1 http协议请求方法概述2 Apache开启PUT请求方法的过程2.1 实验环境2.3 查询已开启的请求类型2.3 开启put方法3 文件上传漏洞利用3.1 上传PHP探针3.2 上传WebShell4 总结参考文章 1 http协议请求方法概述 具体http/https协议及通信过程可以参考文章《【基础协议】HTTP/HTTPS协议及其工作流程》 常见的请求方法及概述 GET:向特定的资源发出请求。 POST:向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。PO
Apache Superset中存在严重漏洞
smellycat000的专栏
01-17 1477
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开源数据可视化和数据探索平台Apache Superset 发布七份安全公告。Apache Superset 是一款现代数据探索和数据可视化平台,能够为很多团队替代或扩充专有的业务情报工具,能够很好地集成多种数据来源。Apache Superset 的SQL Alchemy 连接器中存在一个严重的SQL注入漏洞 (CVE-2022-41703),...
漏洞复现】Apache_Tomcat_PUT方法任意写文件(CVE-2017-12615)
过期的秋刀鱼
11-04 970
当 Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。用burpsuite 进行抓包并做如下修改(GET请求改为PUT,修改名字,并在下面添加jsp的shell)即可看到Tomcat的Example页面。工具扫出来的结果,验证漏洞存在。
apache不能解析php文件_Web中间件漏洞Apache
weixin_39754267的博客
11-27 155
Apache简介Apache 是世界使用排名第一的 Web 服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的 Web 服务器端软件之一。它快速、可靠并且可通过简单的 API 扩充,将 Perl/Python 等解释器编译到服务器中。解析漏洞 漏洞介绍及成因Apache 文件解析漏洞与用户的配置有密切关系,严格来说属于用户配置问题。Apache 文件...
文件解析漏洞总结-Apache
热门推荐
若水斋
08-10 2万+
本文详细论述、测试了Apache的三种文件解析漏洞:多后缀名、罕见后缀和利用.htaccess
java+poodle漏洞修复_如何修复 POODLE SSLv3 安全漏洞 (CVE-2014-3566)
weixin_35926446的博客
02-27 1517
POODLE = Padding Oracle On Downgraded Legacy Encryption首先, 这是一个迟来的命名,但安全问题仍然可怕。最新的安全漏洞 (CVE­-2014-3566) 代号是 POODLE, 这是一个缩写,按照上面的标题有实际的意义吗?这个漏洞和之前的 B.E.A.S.T (Browser Exploit Against SSL TLS) 非常相似,但是目前...
Spring Cloud助力后端领域的微服务安全漏洞修复
最新发布
架构师的AI之路,分享AI应用开发架构的学习与实践。
07-18 647
目的:解决微服务架构下的三大核心安全问题——服务间未授权访问敏感配置泄漏熔断机制失效,并教你用Spring Cloud生态组件(Gateway、Config、Sentinel等)快速修复这些漏洞。范围:覆盖后端微服务开发中的“安全防护”场景,不涉及前端安全(如XSS、CSRF)或网络层安全(如SSL)。门口的问题:用“商场被偷”的故事引出微服务的安全痛点;保安的作用:用API网关解决“未授权访问”漏洞;中控室的秘密:用配置中心解决“敏感配置泄漏”漏洞;保险丝的智慧:用熔断机制解决“服务雪崩”漏洞
Redis超全精讲!
蔡政洁的博客
01-29 2893
目录1.NoSQL介绍1.1 什么是NoSQL1.2 NoSQL的特点1.2.1 应用场景1.2.2 不适用场景1.3 NoSQL数据库1.3.1 memcache1.3.2 redis介绍1.3.3 mongoDB介绍1.3.4 列式存储HBase介绍2. Redis介绍2.1 Redis的基本介绍2.2 Redis的应用场景2.2.1 取最新N个数据的操作2.2.2 排行榜应用,取TOP-N操作2.2.3 需要精准设定过期时间的应用2.2.4 计数器应用2.2.5 Un
apache2.4.18
03-27
linux 编译通过,可以使用,编译时需要依赖库apr,apr-iconv,apr-util,openssl,pcre
PUT中间件上传漏洞
weixin_45007073的博客
01-13 2826
先介绍一下PUT上传漏洞的原理 我们常见的中间件有apache,tomcat,IIS,weblogic(其实就是web容器),这些中间件可以设置支持的HTTP方法。每一个HTTP方法都有其对应的功能,在这些方法中,PUT可以直接从客户机上传文件到服务器。如果中间件开放了HTTP中的PUT方法,那么恶意攻击者就可以直接上传webshell到对应的服务器上。 靶机搭建 链接:https://pan.baidu.com/s/1l_LILZgjUZ6ASrFQq9X22A 提取码:lsq0 漏洞复现 使用netd
Apache activeMQ漏洞复现put和move方法
ranuy阮的博客
04-19 2145
漏洞说明 Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务,集群,Spring Framework等。Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java消息服务(JMS)ObjectMessage对象利用该漏洞执行任意代码...
0day预警:亿格云向Apache上报高危命令执行漏洞CVE-2023-46226
Eaglecloud的博客
02-01 406
Apache IoTDB(物联网数据库)是一体化收集、存储、管理与分析物联网时序数据的软件系统。 Apache IoTDB 采用轻量式架构,具有高性能和丰富的功能,并与Apache Hadoop、Spark和Flink等进行了深度集成,可以满足工业物联网领域的海量数据存储、高速数据读取和复杂数据分析需求。
【文件上传漏洞02】Apache如何查看与设置PUT请求+利用PUT方法上传文件
Fighting_hawk的博客
02-28 4935
1. 复习各类型请求及其作用; 2. 掌握Apache上PUT方法的查询与设置; 3. 掌握后台不合理配置时对文件上传漏洞的利用方法。
WindowsServer Apache2.4 2个轻微漏洞的解决办法
weixin_33671935的博客
12-20 491
问题1:windows apache设置X-Frame-Options的方法1、打开 httpd.conf2、把 #LoadModule headers_module 前面的 # 号去掉3、在http.conf文件最末尾增加:Header always append X-Frame-Options SAMEORIGIN4、重启ApacheX-Frame-Options 有三个值:DENY表示该页面...
php7.2.0 漏洞,N/A Apache 2.4.7 + PHP 7.0.2 - 'openssl_seal()' Uninitialized Memory Code Execution-漏洞情报...
weixin_39758392的博客
03-27 710
// Source: http://akat1.pl/?id=1function get_maps() {$fh = fopen("/proc/self/maps", "r");$maps = fread($fh, 331337);fclose($fh);return explode("\n", $maps);}function find_map($sym) {$addr = 0;foreach(...
中间件安全—Apache常见漏洞
剁椒鱼头没剁椒的博客
02-20 9924
Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。apache httpd支持一个文件多个后缀,windows对于多后缀的识别是看最后一个“.”之后的后缀名。apache对于多后缀文件的识别是从后往前识别,最后一个后缀不能被识别时,会往前识别。
CVE-2021-41773 Apache HTTP Server漏洞复现
问题很多的小明
10-08 5143
存在漏洞的版本:仅影响Apache HTTP Server 2.4.49版本 推荐环境:GitHub - blasty/CVE-2021-41773: CVE-2021-41773 playground 下载后: docker-compose build && docker-compose up 如果遇到: 则进入容器,修改 vim /etc/apache2/apache2.conf 最后一行加入: ServerName localhost:80 修改后.
apache代码执行(cve-2021-41773)漏洞复现
weixin_42675091的博客
09-23 1109
apache代码执行(cve-2021-41773)漏洞复现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值