漏洞复现——Apache HTTPD多后缀解析漏洞

Posted 爪爪

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漏洞复现——Apache HTTPD多后缀解析漏洞相关的知识,希望对你有一定的参考价值。

漏洞原理:Apache Httpd支持一个文件拥有多个后缀,不同的后缀执行不同的命令,也就是说当我们上传的文件中只要后缀名含有php,该文件就可以被解析成php文件,利用Apache Httpd这个特性,我们就可以绕过上传文件的白名单。

漏洞版本:该漏洞和Apache和PHP版本无关,属于用户配置不当造成的解析漏洞

复现步骤:

正常上传文件,会返回文件上格式不支持

将文件后缀改为如下图,再上传

成功上传,现在可以去查看上传的文件:

 

 

 

以上是关于漏洞复现——Apache HTTPD多后缀解析漏洞的主要内容,如果未能解决你的问题,请参考以下文章

Apache文件解析漏洞复现,CVE-2017-15715复现,Apache多后缀解析漏洞复现

Apache[多后缀文件名解析漏洞+换行解析漏洞+SSI远程命令执行漏洞]复现

Apache HTTPD 多后缀解析漏洞

apache httpd解析漏洞复现

漏洞复现Apache HTTPD 换行解析漏洞(CVE-2017-15715)

漏洞复现Apache HTTPD 换行解析漏洞(CVE-2017-15715)