.htaccess 文件 在文件上传中的使用

Posted hmbb

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了.htaccess 文件 在文件上传中的使用相关的知识,希望对你有一定的参考价值。

 

 

先来看看什么是.htaccess文件

技术分享图片

可以看到能实现很多功能 其他的功能先不管 我们只需要知道.htaccess文件能够设置服务器解析文件的格式 比如 设置 匹配到ddd 就用php的格式来解析

我这里使用的使Apache服务器 先下了一个phpstdy的集成环境

技术分享图片

Apache要使.htaccess文件生效要在httpd.config 配置两个地方(百度搜的)

Options FollowSymLinks

 AllowOverride None

改为:

Options FollowSymLinks
AllowOverride All

把LoadModule rewrite_module modules/mod_rewrite.so前面的注释符号#删除

 

先试试不配置 直接写.htaccess文件 这段代码的意思使匹配到文件名中含有dd的字符 就以php形式去解析

技术分享图片

保存到根目录下  创建一个dd.txt文件

技术分享图片

写一个弹窗的

技术分享图片

 

 

 无语 直接就生效了 看看配置

技术分享图片

LoadModule rewrite_module modules/mod_rewrite.so 默认开的  Options FollowSymLinks没有发现有这个,不知道是不是集成环境的原因

技术分享图片

 

既然这样的话 直接安装原始Apache试验

搞了半天才弄好php和Apache的链接 一步出错 就问题多多

技术分享图片

开始实验 同样传.htaccess文件 创建dd.txt 没有解析

技术分享图片

看看配置 默认关闭的 删除注释符在试

技术分享图片

 一样没解析 再改一下 Options FollowSymLinks AllowOverride None参数 同样没发现有

 

百度的这两种方法没用 修改了apache服务就会启动不了

 技术分享图片

 

直接替换所有的 

技术分享图片

解析成功

 技术分享图片

 

我又 将LoadModule rewrite_module modules/mod_rewrite.so 的注释加了上去发现同样解析  也就是说和 LoadModule rewrite_module modules/mod_rewrite.so 没多大关系

 

总结:

1..htaccess文件使用要开启apache httpd.config AllowOverride All 而且要重启服务才能生效 和LoadModule rewrite_module modules/mod_rewrite.so 没关系

2.集成环境简单但是不安全所有的安全配置都是开启的,原始平台安装配置稍复杂但是安全系数高配置都是默认关闭的,而且一般集成环境拿到的shell基本上是最高权限

3.上传使用.htaccess文件如果碰到是黑名单处理并且是集成环境搭建的环境那就又很大的可能绕过验证getshell,不是的话就只能凭运气看站长是否开启了AllowOverride All

 


以上是关于.htaccess 文件 在文件上传中的使用的主要内容,如果未能解决你的问题,请参考以下文章

apache_conf 将其放在Wordpress uploads文件夹中的.htaccess中。它将检查您现有网站上的上传,如果找不到

.htaccess上传到万神殿服务器时没有在drupal 7上工作

利用Apache漏洞getshell(.htaccess 文件攻击上传shell)

ctfhub技能树—文件上传—.htaccess

如何使用 .htaccess 或 php.ini 增加上传文件大小限制? [复制]

htaccess 下载文件而不是加载