当前位置: 首页 > news >正文

杂项复现-中间件

news 来源:原创 2025/5/8 13:28:15

一、Apache HTTPD 多后缀解析漏洞

一、Apache HTTPD 多后缀解析漏洞

在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白名单的解析漏洞。

1、上传一个含有后门的代码

2、将文件名1.php改成1.php.jpg,成功上传

3、访问上传的文件,成功执行phpinfo()

总结:

1、需要中间件是apache,附带PHP 7.3环境

2、文件命名是需要基于本地命名(如果后端重新命名则无法实现1.php.jpg)

相关文章:

  • 秃姐学AI系列之:PyTorch模型构造 | 参数管理 | 自定义层 | 读写文件
  • Java反射机制深度解析与实践应用
  • Electron-builder 打包
  • Unity教程(十)Tile Palette搭建平台关卡
  • ISP代理与双ISP代理的区别
  • 斯坦福UE4 C++课学习补充19:黑洞技能
  • 【TabBar嵌套Navigation案例-按钮交换图片和文字的位置-分类 Objective-C语言】
  • Linux服务器监控实战:使用Prometheus与Grafana
  • React 中的useRef 和 useTransition
  • 实战经验分享:如何申诉并成功解封谷歌开发者账号?
  • vim中跳转头文件
  • 如何设置 Visual Studio Code 的滚轮缩放功能
  • 算法定制与双光谱技术融合:提升巡检车入侵检测系统效能
  • WebAssembly最详教程
  • maven项目中pom.xml文件内容详解
  • PyTorch 基础学习(1) - 快速入门
  • 机器学习——聚类算法K-Means
  • 继Devin之后又一AI工程师:Genie横空出世!
  • [Android] [解决]Bottom Navigation Views Activity工程带来的fragment底部遮盖的问题
  • 【项目实战】C++视频共享点播系统
  • 中华人民共和国和俄罗斯联邦在纪念中国人民抗日战争、苏联伟大卫国战争胜利和联合国成立80周年之际关于进一步深化中俄新时代全面战略协作伙伴关系的联合声明
  • 特朗普政府拟终止太空污染研究,马斯克旗下太空公司将受益
  • 中科院院士魏辅文已卸任江西农业大学校长
  • AI聊天机器人涉多起骚扰行为,专家呼吁加强伦理设计与监管
  • 长三角多地重启游轮跨市游,“恢复苏杭夜航船”呼声又起
  • 世界哮喘日|专家:哮喘无法根治,“临床治愈”已成治疗新目标